edición general
210 meneos
1574 clics
GitHub sufre un ataque automatizado de millones de repositorios clonados llenos de código malicioso [ENG]

GitHub sufre un ataque automatizado de millones de repositorios clonados llenos de código malicioso [ENG]

Un atacante desconocido ha conseguido crear y desplegar un proceso automatizado que bifurca y clona repositorios existentes, añadiendo su propio código malicioso oculto bajo siete capas de ofuscación (vía Ars Technica). Estos repositorios falsos son difíciles de distinguir de sus homólogos legítimos, y algunos usuarios que desconocen la naturaleza maliciosa del código están bifurcando ellos mismos los repositorios afectados, aumentando involuntariamente la escala del ataque.

| etiquetas: github , ataque , código malicioso , informática
93 117 0 K 421 tecnología
91 comentarios
93 117 0 K 421 tecnología
Comentarios destacados:                      
Garbns #2 Garbns
Y esto es por lo que no podemos tener cosas bonitas...
13 K 112
geburah #41 geburah
#34 estamos en el punto que una librería de nodejs es un cuello de botella para software que está en producción.

Por comodidad de los desarrolladores que lo ven todo desde su mundo de Yupi, tenemos aplicaciones que se podrán escribir en 100 líneas sin , escritas en 20 pero con cientos de dependencias.

Porque? Porque solo miramos lo que tenemos inmediatamente delante de la nariz, y exclamamos -oh cielos, que código más elegante!- sin que importe lo más mínimo toda la basura que pueda haber…   » ver todo el comentario
10 K 64
deprecator_ #45 deprecator_
#41 A ver... Cuantos desarrolladores más y como de buenos necesitas para hacer esas 100 líneas sin librerias externas en vez de 20 con ellas? Cómo es la calidad del producto resultante? Qué coste tiene? Y el soporte? Me parece que el que vive en los mundos de Yupi eres tú. O bueno empieza tu en este plan y lo petaras si es que tienes razón.
4 K 31
#51 anthk *
#45 Muy bien, cuando ChatGPT llene de mierda los repos de proyectos robando licencias, cagándose por litigios y con vulnerabilidades por doquier, mas de uno bloqueara a todo devops que no sobreviva una semana con busybox, awk, links, libressl, ssh y tmux.

#41 Tiene toda la razon.
0 K 7
deprecator_ #63 deprecator_
#51 Y qué impide usar chatgpt para defender los repos? La magia funciona para todos o es solamente para los agoreros?
0 K 9
#64 anthk *
#63 Magia, dice.

El problema será Copilot y marmolillos preguntando a ChatGPT sin saber que hace el codigo de un programa, libreria o script.
0 K 7
deprecator_ #65 deprecator_
#64 Cuanto más potente es una tecnología mayores errores se pueden cometer, pero aun así prefiero una excavadora a una pala.
1 K 13
#66 anthk
#65 Eso no es una excavadora a la hora de programar, es el equivalente al coche-desastre de Homer haciendo caso a los usuarios.
1 K 18
deprecator_ #67 deprecator_
#66 Lo que tu digas. A mi me funciona.
Por cierto no se que tiene que ver chatgpt con copilot y con ataques que hacen forks de repos. Que todo lleva ai?
0 K 9
#68 anthk
#67 1) que la gente que usa AI se va a volver aun mas vaga, no va a leer ni documentacion online
2) Preparate para futuras demandas como parte de tu codigo pertenezca a codigo BSD sin mencionar el origen o GPL/LGPL sin respetar licencias.
1 K 18
deprecator_ #69 deprecator_
#68 No te preocupes, tu no haces esas cosas asi que estas a salvo. Los imprudentes que jugamos al aprendiz de brujo lo pagaremos caro. Coge palomitas y relájate.
0 K 9
#70 anthk
#69 Pagar caro no se, pero que va a haber desastres por churros peores que mezclar VBA+VB6+OLE+ActiveX, eso tenlo claro.
1 K 18
#77 chavi
#65 El problema es que uses unas excavadora para plantar un pino
0 K 11
#76 chavi
#63 ChatGPT no puede defender nada
0 K 11
#75 chavi
#51 Lo de ChatGPT puede llegar a ser una tragedia bíblica
0 K 11
#83 anthk
#75 Ya hay tios de la gen-z con poca de idea de informatica aplicando comandos de un sistema en otro sin tener npi.
0 K 7
#74 chavi
#45 Uno
0 K 11
geburah #80 geburah
#45 el problema es la velocidad a todo coste.

Puedes desplegar un clúster de kuberntes en aws EKS, meter una aplicación llena de dependencias.

Eso será muy efectivo los primeros a o 4 meses. Entonces el chavo al que le otorgan la explotación del servicio depende de as para casi el 100% de la infraestructura y tienes millones de dependencias con las que lidiar cuando haya actualizaciones. Y las hay constantemente.

Es MUCHO mejor a largo plazo, y más rentable, trabajar en una base solida que…   » ver todo el comentario
1 K 11
deprecator_ #81 deprecator_
#80 No lo veo. Todas estas cosas pasan desde hace más de 10 años y no veo que haya perjudicado a la facilidad de hacer cosas, al contrario. Tampoco conozco proyectos fracasados por esas razones y como digo tiempo ha habido. Pero bueno todos tenemos nuestras manías. Si a ti te parece mejor implementar todo desde 0 pues disfrútalo.
1 K 13
daphoene #87 daphoene *
#80 En este aspecto yo he usado siempre una filosofía similar, y me ha ido muy bien. Me acusan de antiguo y de reinventar la rueda, pero mis únicas dependencias son para temas como pasarelas de bancos o servicios de terceros que se requieren. El core funciona en una tostadora de hace 30 años, y se conecta con cualquier cosa actual sin problemas.

Muchos me acusaron de que haciendo las cosas yo eran más inseguras. Aún no he sufrido nada por ello, y no es porque los sistemas los usen cuatro…   » ver todo el comentario
1 K 16
deprecator_ #88 deprecator_
#87 No se, yo muchas veces he tenido que mirar dentro del código de dependencias para entender qué hacían exactamente y nunca he pensado "qué cosa más mal hecha", más bien al contrario y he aprendido de ellas. Si fuera asi pues esa dependencia en concreto no la usaria.
Creo que es fácil caer en la tentación de pensar que lo que no entendemos está mal y que nosotros lo hacemos mejor pero hay mucha gente muy muy buena por ahi y de hecho creo que la mayoría de librerías conocidas estan mantenidas por gente muy capaz.
0 K 9
daphoene #89 daphoene
#88 No es estrictamente que estén mal hechas, pero sí que no están hechas por genios diferentes al común de los mortales. Y a veces sí que hay carencias.

Se supone que cuanto más se usa esa librería más se revisará el código para estar al día de actualizaciones y problemas nuevos que surgen, pero la realidad es que gran parte del código es normal, y no estará más desactualizado de lo que pueda estar el código de cualquiera.

Todo esto unido a que cualquier dependencia te obliga a estar atento…   » ver todo el comentario
0 K 9
deprecator_ #90 deprecator_
#89 A mi me dice esto en una entrevista un candidato que tenga más de uno o dos años de experiencia y no la pasa.
0 K 9
daphoene #91 daphoene
#90 Yo he hecho entrevistas a docenas de candidatos en empresas distintas, algunas de las cuales se han hecho famosas, y las comencé yo desde cero. No puedo explicar cuáles no sólo por mi propia privacidad, sino porque me lo impiden varios NDAs.

Creo que tengo una experiencia bastante dilatada y variada, y sé por qué dices lo que dices, no eres el primero ni serás el último, pero creo que ganarías más pensando un poco sobre lo que exponemos varios de los compañeros, en lugar de ser tan…   » ver todo el comentario
0 K 9
prejudice #48 prejudice *
#41 se me ocurren tres escenarios poco deseables:

1. Una vez que casi todo esté en "la nube". Aws, azure y demás nos subirán los precios (Pero no lo suficiente para que salga la cuenta migrar a soluciones self hosted)

2. El pais dónde esta tu empresa deja de ser amigo de USA y te bloquean el acceso a github, aws, azure, etc

3. Ataque nuclear parcial, donde los principales objetivos son los datacenters de aws, azure, etc donde están desplegadas tus aplicaciones, datos, y sus backups
2 K 17
#78 chavi
#48 Imagínate que mañana Google dice que hay un mes de carencia y que. Partir de ahí 20€ /mes por Gmail. Y 30 si usas Google docs, photos o Drive...
1 K 17
geburah #79 geburah
#48

Justamente parte de los argumentos que uso con mis clientes para usar soluciones híbridas y poner prácticamente todo dentro del paquete entregable, en la forma que sea, kuberntes, contenedores, maquinas virtuales, etc.

El momento que usas más servicios de los que te daría de forma nativa una DC, estás en sus manos.

Los tres escenarios son posibles, el 1 ya se da y el 2, bueno, tenemos la razón por la cuál existe Alibaba.

Al escenario 3 me suelo referir como guerra regional que llega a incapacitar la infraestructura de la región.

Pero bueno si hay una guerra nuclear probablemente la aplicación será lo de menos...
0 K 7
prejudice #84 prejudice *
#79 Yo no me refiero a guerra nuclear total si mas bien algo parcial dónde solo se usarán misiles tácticos, a poco que se pase de ahí tal como dices seria el menor de nuestros problemas que no funcionara aws
0 K 6
leporcine #59 leporcine
#41 Yo para mis proyectos personales me lo curro todo a pelo, paso de dependencias, me gusta pensar que abandono un proyecto por ejemplo durante 5 años y tener la tranquilidad de que si me apetece recuperarlo para continuar trabajando en él todo va a seguir funcionando igual.
1 K 18
#72 chavi
#41 aplicaciones que se podrán escribir en 100 líneas sin , escritas en 20 pero con cientos de dependencias.
En resumen, aplicaciones que podrían ocupar 100 líneas, ocupando 1000.
0 K 11
manolo #29 manolo
Y espérate a que Copilot empiece a reproducir los trozos de código malicioso haciendo de asistente... :shit:
9 K 62
#47 Eukherio
#29 Creo que lo peor se daría el día en que alguien sin conocimientos de programación le pidiese a una IA que generase el código y esta lo copiase de un repositorio con código malicioso, porque ahí ya no tienes en ningún momento del proceso a alguien con conocimientos para saber que algo va mal.
4 K 30
manolo #50 manolo
#47 Exacto, en esa línea iba mi comentario.
0 K 10
#35 SergioZgz
#23 el problema es más serio que esto. Han logrado automatizar los procesos de creación de cuentas. Imagina que el proyecto malicioso tiene muchas más estrellas y forks que el original... a más de uno se la van a colar
6 K 59
Zeioth #49 Zeioth *
#35 Y que tampoco es tan difícil eh. Tienes proyectos usados por miles de personas y empresas con apenas 200 estrellas. GitHub es puro leecher.
0 K 8
geburah #6 geburah *
La gran estrategia de usar todos el mismo servicio.

Me fascina como en esta industria en la que se supone que tenemos grandes mentes pensantes hay tanta dejadez.
4 K 52
#17 Nouser
#6 Siempre relevante: xkcd.com/2347/
15 K 104
geburah #18 geburah
#17 tal cual :-D
1 K 15
NombreMásFalsoQueJudas #40 NombreMásFalsoQueJudas
#17 Brillante como siempre.
0 K 9
#30 juanac
#6 La realidad es que la centralización tiene muchas ventajas a nivel de UX. Y la mejor UX generalmente se impone a otro tipo de cuestiones técnicas.
2 K 20
geburah #33 geburah
#30

Me recuerdas a los Devs de ux de los proyectos en los que trabajo.

Centro del universo. xD
0 K 7
deprecator_ #34 deprecator_
#6 Es el precio a pagar. Si en cambio todo el mindo tuviera que escribirse su propio software o comprarlo creo que estaríamos decadas por detras de donde estamos ahora y posiblemente con muchas más vulnerabilidades.
3 K 29
#36 SergioZgz
#34 recuerdas sasser ? En ese punto estaríamos
0 K 10
deprecator_ #39 deprecator_
#36 Vale, y que se hizo? Desconectar el mundo de internet o desarrollar mejores antivirus parchear vulnerabilidades, migrar a sistemas más seguros...?
0 K 9
Golan_Trevize #7 Golan_Trevize
<modo monguer> A mi plin, que yo uso Piko... Linux <//modo monguer>
4 K 45
Cidwel #22 Cidwel
coño. Hoy mismo he visto uno que he reportado. Por lo general son pequeños repos que simplemente tienen un readme, con una url apuntando a que te bajes un exe. Intentan impersonar proyectos reales
4 K 43
Cehona #21 Cehona
#9 De memoria /RAM :-D
1 K 20
Eversmann #1 Eversmann
Buah! 7 capas de ofuscación!
Mientras no suplanté también los repos de npm, maven, etc…
1 K 13
#13 chavi
#1 Lo harán... Algunos de ellos creo que se traen el código de Github...

Es un problema serio
2 K 21
#23 mr._cortimer
#13 No pasa nada si se baja el original desde siempre, el problema es cuando buscas el código y das con el fork malo primero
1 K 20
xkill #55 xkill
#13 por si no le sabías hace poco (bueno unos pocos años) ya lo hicieron y creo que recordar que algo parecido con los repos CPAN hace muchos años.
0 K 9
#61 anthk
Si lo que quieras es seguridad plena como devops, GNU Guix con paquetes reproducibles con hardware soportado. Intel de generaciones algo mas antiguas, Nouveau GTX o similares:

guix.gnu.org/es/

nouveau.freedesktop.org/VideoAcceleration.html

ryf.fsf.org/products/Talos-II-lite-Mainboard

Cara la Talos? Si, pero un thinkpad de GNU es relativamente barato y permite hacer muchisimas cosas con menos recursos de lo que piden otros sistemas. Un Guix con XFCE es perfectamente usable.

Guix es compleja? Ok, pero si trabajas en ciencia o entornos sensibles, tu entorno ha de ser 100% reproducible.
1 K 11
#71 chavi *
#19 ¿Y tú más?

OpenSSL es un software ajeno a Linux. Es como si incluyes las vulnerabilidades de Photoshop como vulnerabilidades de Windows

Y navegando contra un servidor con el OpenSSL vulnerable sería vulnerable tu edge en Windows
0 K 11
#32 colorincolorado
#26 no has contestado a la pregunta: ¿estaban los repos?
0 K 9
#42 lectordigital
#32 repito no estaban los archivos. si los repositorios
0 K 6
#44 mariopg
hay que ser muy maligno para hacer algo así
0 K 8
#62 anthk
#60 Bueno, este ataque es para corporaciones con bots ad-hoc y similares. Pero reconozco de conda y pypi es un desastre.
Ojala mas gente usase Guix, toda la instalacion y construccion se 'certifica' para que sea clonable por entero en cualquier maquina en identica salida.
0 K 7
#86 anthk
#85 Sí ayuda con otras mitigaciones. Con malloc.conf por ejemplo, no aqui, en 'S' casca mucho software rerulero.
0 K 7
#46 Nouser
#19 Podía afectar a su máquina si hubiera usado alguna aplicación construida sobre OpenSSL que a su vez emplee el protocolo Hearthbeat. Así como los servidores están "obligados" a soportar el protocolo y responder a las peticiones, la mayoría de aplicaciones no hacen uso del mismo.

En particular, ninguno de los navegadores más habituales en Linux (Firefox y Chrome) hacen uso de OpenSSL. La aplicación más común que sí usaba OpenSSL y sí emplea hearthbeat es SSH, y sólo supone un…   » ver todo el comentario
0 K 7
#53 anthk *
#19 OpenSSL es usado hasta en videoconsolas. Tu comentario es una chorrada. Es como decir que hay una vulnerabilidad en FFMPEG, Cairo, Harfbuzz, Freetype, ImageMagick y demas echarle la culpa a Linux cuando esas librerias estan hasta en retretes japoneses. Y por supuesto muchas de esas librerias se usan en Windows. #46 OpenSSH creo que usaba y hoy usa un fork propio de OpenBSD.
0 K 7
#54 psxe *
#53 Las vulnerabilidades estaban en el sistema operativo del meneante que decía que su sistema era hiperseguro porque era Debian. Sí.

No me vengáis con películas que el hilo iba de otra cosa y sólo puse un ejemplo de vulnerabilidad crítica. CC #46

security-tracker.debian.org/tracker/status/release/stable
0 K 6
#56 anthk *
#54 Eso es la rama estable. Si usa SID o Testing se libra.

Es mas, si haces click en el paquete ves que muchos tienen el bug resuelto.
0 K 7
#57 psxe *
#56 Que sí que sí, que ninguna tiene vulnerabilidades en sus paquetes. security-tracker.debian.org/tracker/status/release/testing

xD xD xD Cierro que entramos en bucle.
0 K 6
#58 anthk *
#57 Unstable claro xD xD xD, es su funcion, pero por lo general testing tiene un buen balance entre seguridad y novedad.

Pero yo no uso Debian, uso Hyperbola GNU con Dillo, Edbrowse, sacc para gopher, gplaces para Gemini, a veces Links y Iceweasel-UXP con Ublock Origin Legacy para emergencias. Pocos problemas tendre yo con el JS y/o anuncios, tengo hasta archivos de hosts con unos 200.000 dominios bloqueados. Pero para comentar en MNM via edbrowse me sobra.

Sobre el problema de Github, si el unico problema es meter un binario Win32 en vez del repo, pues cojonudo. La mayoria de devs hara caso omiso.
0 K 7
#60 psxe
#58 A ver, no nos pongamos nerviosos, que el comentario al que he respondido desde el principio es #4  media
0 K 6
#73 Nouser
#53 El fork de OpenBSD es LibreSSL y lo crearon a partir de Hearthbleed. Hasta entonces usaban OpenSSL como la mayoría de aplicaciones.
0 K 7
#82 anthk
#73 Pero OpenBSD tiene parches propios y mitigaciones distintas. De hecho hoy raro es que no tenga pledge y unveil tanto en el ejecutable de ssh como el de openssl.
0 K 7
#85 Nouser
#82 Nada de eso ayudaría con Hearthbleed. El problema no era de privilegios sino que que OpenSSL gestionaba por sí mismo la memoria.
0 K 7
#24 lectordigital *
No se si a alguien le ha pasado lo mismo que a mi. En dos ocasiones me abri cuenta gratuita en GitHub sin mostrar al publico. Subi algo de codigo y a los 3 meses fui a mirar y no habia codigo lo habian borrado.
0 K 6
#25 DenisseJoel
#24 ¿Qué es lo que habían borrado, el repositorio, la cuenta, los archivos, los commits...?
0 K 10
#26 lectordigital
#25 Tenia la cuenta pero no estaban los archivos
0 K 6
#37 SergioZgz
#24 he mirado 3 cuentas que llevo años sin usar y tienen todo de todo
0 K 10
#43 lectordigital
#37 pues en mi caso me paso esto.
0 K 6
#31 YUKI0
Una pregunta: ¿Si pego el enlace de un repositorio que contenga algún archivo malicioso en Virustotal (o cualquier sitio parecido) este lo detectaría?
0 K 6
#38 SergioZgz
#31 no
0 K 10
#4 cocococo
Yo uso GNU/Linux Debian y solamente instalo los programas que vienen en la distribución oficial. Hasta el momento cero problemas desde hace muchos años.
11 K -53
Cehona #5 Cehona
#4 [SECURITY] [DSA 5634-1] chromium security update in Debian.
Multiple security issues were discovered in Chromium, which could result
in the execution of arbitrary code, denial of service or information
disclosure.
Pero como yo uso Windows, no tengo ese problema.
6 K 61
Gazpachop #8 Gazpachop
#5 no te molestes, es un trol sin gracia…
1 K 22
#52 anthk
#5 Yo uso edbrowse y tu maravilloso Edge tiene tanto vulns de Chrome como propias.

edbrowse.org


Y no troleo como dice #8, con quickjs se puede comentar perfectamente desde un netbook.
0 K 7
#9 Tintoritto
#5 Tú tienes otros problemas xD xD
0 K 7
#12 Mustela *
#5 ¿Ah no?

www.tenable.com/plugins/nessus/191442

The version of Microsoft Edge installed on the remote Windows host is prior to 122.0.2365.63. It is, therefore, affected by multiple vulnerabilities as referenced in the February 29, 2024 advisory.

- Type Confusion in V8 in Google Chrome prior to 122.0.6261.94 allowed a remote attacker to potentially exploit object corruption via a crafted HTML page. (Chromium security severity: High) (CVE-2024-1938)

- Type Confusion in V8 in Google Chrome prior to 122.0.6261.94 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) (CVE-2024-1939)
1 K 18
Cehona #20 Cehona
#12 go to #16
0 K 13
#16 chavi
#5 Pero como yo no uso Chromium no tengo ese problema
1 K 24
#28 MPR
#5 En Linux el navegador por excelencia es Firefox, de Google nos fiamos lo mismo que de Microsoft. :-D
2 K 25
#10 elrolo
#4 cuantos años?
A ver si este año me instalo el Linux en mi escritorio
0 K 6
#11 psxe
#4 Ni tampoco estuvo 2 años vulnerable debido a Heartbleed, ¿verdad?: en.wikipedia.org/wiki/Heartbleed
0 K 6
#15 Nouser
#11 Hearthbleed ni afectaba a clientes ni era exclusivo de Linux.
1 K 14
#19 psxe
#15 Un "y tú más" de libro.

En la wikipedia indica que afecta tanto a cliente como a servidor, e informa de que no afectaba a implementaciones TLS distintas a la de openssl, como por ejemplo la de Windows (que sí, que hay BSD, FortiOS, y miles de SO).

Por tanto, su máquina Debian, la que nos ocupa en este caso, de existir y ser usada en ese momento (de 2012 a 2014), podría ser vulnerable navegando contra un servidor malicioso.
1 K -1
#14 chavi *
#4 Esto es un problema para desarrolladores, no para usuarios.... de momento.

Al final puede que un desarrollador cuele código malicioso en los repos de Debían sin querer
0 K 11
Lekuar #27 Lekuar *
#4 No nos engañes, tú aún usas cincel y martillo.
1 K 15
comentarios cerrados

menéame