GitHub es una plataforma muy popular para alojar proyectos en Internet de todo tipo. Es un espacio de desarrollo colaborativo que permite a los usuarios trabajar conjuntamente. Allí puedes encontrar aplicaciones de código abierto muy variadas. Sin embargo, los piratas informáticos pueden aprovechar el nombre y reconocimiento de este servicio, para estafar. Eso es lo que ha ocurrido y te vamos a hablar de ello.
Desde el equipo de Inteligencia y Amenazas, Mitigación y Escalada (TIME, por sus siglas en inglés) de LastPass, han estado rastreando una campaña en la que han utilizado enlaces falsos de GitHub para atacar a usuarios de macOS. En su blog corporativo, en una publicación con fecha de 18 de septiembre, se han hecho eco de estos hallazgos.
Utilizan páginas falsas de GitHub
Lo que hacen los cibercriminales, es crear repositorios falsos de GitHub, los cuales se hacen pasar por descargas de software legítimo. Apuntan a usuarios de macOS. Para que esos links lleguen a las potenciales víctimas, previamente han utilizado técnicas SEO para que aparezcan en buscadores. La víctima busca algo en Internet, ve el resultado de búsqueda y cree que está accediendo a GitHub, pero realmente es un fraude.
Esta campaña, como han indicado desde LastPass, ha demostrado técnicas avanzadas de ingeniería social y SEO. Gracias a ello, han logrado que esos resultados maliciosos aparezcan en buscadores tan populares como Google o Bing. Por tanto, puede afectar a muchos usuarios que simplemente hagan una búsqueda en Internet para descargar algún software. Medios como GB Hackers, una web especializada en ciberseguridad, se han hecho eco de este problema. Esto entra dentro de una tendencia creciente conocida como el SEO poisoning.
Estos investigadores de LastPass, descubrieron cómo habían creado dos sitios de GitHub falsos, los cuales simulaban ser su servicio. Estos repositorios incluían títulos atractivos, con nombres de empresa y terminología específica de Mac, como “MacOS”, “Mac” o “Premium en MacBook”. Todo esto llevaba, supuestamente, al usuario a la instalación de LastPass en su sistema operativo.
Lo mismo con otras muchas marcas y empresas. Cuando la víctima hace clic, en realidad es redirigida a la web “macprograms-pro[.]com/mac-git-2-download.html”, como indican desde LastPass. Este sitio pide a la víctima que copie y pegue un comando en la Terminal, lo que deriva en la descarga e instalación de un archivo que simula ser una actualización, pero realmente es un troyano.
Esta web se encontraba activa al momento de redactar este artículo. Desde RedesZone, hemos realizado un análisis a través de Virus Total, una de las plataformas más reconocidas para detectar amenazas de este tipo en la red, y hemos obtenido resultados esperados, marcando el sitio como peligroso. Dejamos la captura a continuación.
Este problema sigue vigente. Desde LastPass, junto a otras empresas, están monitorizando y tratando de deshabilitar estos sitios web que pueden ser un verdadero peligro para los usuarios.
Cómo actuar
Es fundamental que mantengas el sentido común ante este tipo de ataques. Revisar la URL a la que accedes, es fundamental. Incluso si entras directamente desde buscadores como Google o Bing, ya que todo puede ser una estafa. El objetivo es que puedas identificar si realmente estás ante un link de GitHub o, por el contrario, es una página fraudulenta.
En caso de que recibas enlaces directamente por correo, redes sociales o los encuentres en foros de Internet y similares, debes extremar las precauciones. Nunca deberías iniciar sesión, ni dar datos a través de estos links. Lo ideal es que siempre accedas a la web oficial y te garantices de que estás en el sitio legítimo.
Por otra parte, mantener el equipo protegido es muy importante. Asegúrate siempre de tener un buen antivirus, además de contar con las últimas versiones del sistema. Esto último te ayudará a corregir fallos que pueda haber. En caso de ver algo sospechoso, es clave que reportes, como indican desde INCIBE, el Instituto Nacional de Ciberseguridad de España.
Hay que tener en cuenta que esto no es un problema de GitHub. No es una vulnerabilidad de esta plataforma que hayan explotado los atacantes, sino que se trata de sitios web que simulan ser de GitHub. Es lo mismo que puede ocurrir cuando los ciberdelincuentes crean páginas falsas de un banco, una red social, etc.
Preguntas frecuentes
¿Es seguro usar GitHub?
GitHub es una plataforma fiable, donde los desarrolladores suben software de código abierto y está disponible para todos. El problema, en este caso, es que crean webs falsas simulando ser de GitHub.
¿Qué pasa si soy víctima de este ataque?
Se trata de un troyano, un stealer, que tiene la capacidad de robar datos personales. Podrían comprometer tus contraseñas y tomar el control del dispositivo.
¿Me protege un antivirus?
Es importante que tengas un antivirus para detectar y eliminar amenazas, pero esto no significa que estés protegido al 100%. Lo debes combinar con otras medidas, como tener el sistema actualizado.
