GitHub es conocida por todos al ser considerada una de las grandes plataformas de alojamiento de código, y que es usada por programadores y también por investigadores de seguridad para subir sus proyectos. Uno de los archivos que se pueden encontrar son PoC (pruebas de concepto) y que trata de ayudar a la comunidad a verificar correcciones de vulnerabilidades.
Pero aunque se le da mucha confianza a todo lo que se almacena en GitHub, la última información nos recuerda que hay que tener cuidado a la hora de descargar diferentes archivos. Esta es la conclusión del Instituto de Ciencias Avanzadas de la Computación de Leiden, que ha encontrado varios repositorios con falsos PoC y que integran malware.
GitHub acoge una gran cantidad de malware camuflados
Tal y como se recoge en el informe técnico de estos investigadores, cualquier persona que tiene intención de descargar un PoC para verificar una corrección de vulnerabilidad, tiene una probabilidad del 10,3% de descargar un archivo con malware e infectar su dispositivo.
Para poder llegar a esta conclusión, se analizaron un total de 47.300 repositorios que se encuentran en Github que se presentan como un exploit para corregir una vulnerabilidad entre 2017 y 2021. Esto es algo que se pudo conseguir determinar analizando el análisis de direcciones IP, análisis binario y también análisis hexadecimal y base64. Concretamente, el rastro de direcciones IP se cruza con AbuseIPDB para poder detectar aquellas que son maliciosas.
Al observar de manera detenida cada uno de los archivos que se pueden descargar en lugar de PoC, se han conseguido detectar una gran variedad de malware y scripts dañinos. Uno de los que han destacado es el script Houdini RAT, un troyano ya antiguo basado en JavaScript que tiene capacidad de introducir comandos en CMD, camuflado como un script de Phyton.
Esto hace necesario tener diferentes consejos de seguridad siempre en la mente para evitar poder caer en una de estas trampas. Para ello, siempre antes de descargar cualquier tipo de archivo de GitHub hay que analizarlo. En internet hay herramientas disponibles como VirusTotal que analiza todo el código, aunque también lo vas a poder leer atentamente antes de ejecutarlo en tu PC. Es por ello que siempre hay que tener un gran sentido común y no confiar en absolutamente nada que haya en este repositorio.
Vía | Bleeping Computer