Tag github

Una investigación de ESET detalla las herramientas y actividades de un nuevo actor de amenazas, de origen chino, cuyo objetivo es la exfiltración masiva de datos confidenciales abusando de proveedores de servidores como Dropbox, OneDrive y Github.

Ecuador ­– Durante la reciente conferencia de Virus Bulletin, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, presentó su análisis a varias campañas dirigidas a instituciones gubernamentales en Tailandia, a partir de 2023. La investigación reveló que estos ataques utilizaban componentes renovados del grupo de amenazas persistentes avanzadas (APT) Mustang Panda, de origen chino, e identificó un nuevo actor de amenazas, al que ESET denominó CeranaKeeper, que abusa de proveedores de servicios como Pastebin, Dropbox, OneDrive y GitHub para ejecutar comandos en equipos comprometidos y filtrar documentos confidenciales.

CeranaKeeper ha estado activo al menos desde principios de 2022, dirigiéndose principalmente a entidades gubernamentales de países asiáticos como Tailandia, Myanmar, Filipinas, Japón y Taiwán. Se destaca la incesante caza de datos del grupo, cuyos atacantes despliegan una amplia gama de herramientas destinadas a extraer la mayor cantidad de información posible de las redes comprometidas.

Puntos clave de esta investigación son:

• El equipo de investigación de ESET descubrió un nuevo actor de amenazas de origen chino, CeranaKeeper, dirigido a instituciones gubernamentales en Tailandia. Algunas de sus herramientas fueron atribuidas previamente a Mustang Panda por otros investigadores.

• CeranaKeeper abusa de servicios en la nube y de intercambio de archivos populares y legítimos, como Dropbox y OneDrive, para implementar backdoors y herramientas de extracción personalizadas.

• El grupo actualiza constantemente su backdoor para evadir la detección y diversifica sus métodos para ayudar a la exfiltración masiva de datos.

• El grupo utiliza las funciones de solicitud de extracción y comentario de problemas de GitHub para crear un shell inverso sigiloso, aprovechando GitHub, una popular plataforma en línea para compartir y colaborar en código, como servidor de C&C.

“CeranaKeeper, el actor de la amenaza que está detrás de los ataques al gobierno tailandés, parece especialmente implacable, ya que la plétora de herramientas y técnicas que utiliza el grupo sigue evolucionando a gran velocidad. Los operadores escriben y reescriben su conjunto de herramientas según las necesidades de sus operaciones y reaccionan con bastante rapidez para seguir evitando ser detectados. El objetivo de este grupo es cosechar tantos archivos como sea posible y para ello desarrolla componentes específicos. CeranaKeeper utiliza la nube y servicios de intercambio de archivos para la exfiltración y probablemente se basa en el hecho de que el tráfico a estos servicios populares en su mayoría parecería legítimo y sería más difícil de bloquear cuando se identifica.”, comenta Romain Dumont, Malware Researcher de ESET.

En la operación analizada por ESET, el grupo convirtió las máquinas comprometidas en servidores de actualización, ideó una novedosa técnica que utilizaba las funciones de solicitud de extracción y comentario de incidencias de GitHub para crear un shell inverso sigiloso, y desplegó componentes de recolección de un solo uso al recopilar árboles de archivos enteros.

Desde ESET consideran que el uso de señuelos políticos y componentes PlugX es obra de MustangPanda. A pesar de algunas similitudes en sus actividades (objetivos de carga lateral similares, formato de archivo), observaron diferencias organizativas y técnicas entre los dos grupos, como diferencias en sus conjuntos de herramientas, infraestructura, prácticas operativas y campañas. También identificaron diferencias en la forma en que ambos grupos llevan a cabo tareas similares

“A lo largo de la investigación, ESET estableció fuertes conexiones entre los conjuntos de herramientas previamente documentados y los nuevos y un actor de amenazas común. La revisión de las tácticas, técnicas y procedimientos (TTP), el código y las discrepancias de infraestructura llevaron a creer que era necesario rastrear CeranaKeeper y MustangPanda como dos entidades separadas. Sin embargo, ambos grupos de origen chino podrían estar compartiendo información y un subconjunto de herramientas por un interés común o a través del mismo tercero.”, agrega Dumont, de ESET.

Para un análisis más detallado de las herramientas desplegadas por CeranaKeeper, puede acceder al informe completo de ESET Research aquí.

Fuente: Departamento de Comunicación ESET Ecuador.

¿Puedes ser víctima de malware cuando descargas archivos de los repositorios de Microsoft en GitHub? Resulta que sí. ¡Mantente alerta!

Uno de los consejos de seguridad más antiguos es: “Descarga solo software de fuentes oficiales”. Por lo general, las “fuentes oficiales” son las principales tiendas de aplicaciones de cada plataforma, pero para millones de aplicaciones de código abierto útiles y gratuitas, la fuente más “oficial” es el repositorio del desarrollador en un sitio especializado como GitHub o GitLab. Allí, puedes encontrar el código fuente del proyecto, las correcciones y las incorporaciones al código y, a menudo, una compilación de la aplicación lista para usar. Cualquiera que tenga el más mínimo interés en ordenadores, software y programación conoce estos sitios. Por eso fue un descubrimiento desagradable para muchas personas (incluidas las especialistas en seguridad de TI y los propios desarrolladores) que un archivo al que se puede acceder con un enlace como github{.}com/{User_Name}/{Repo_Name}/files/{file_Id}/{file_name} podría ser publicado por otra persona que no sea el desarrollador y contener cualquier cosa.

Por supuesto, los ciberdelincuentes se aprovecharon de esto inmediatamente.

Desglosemos el problema

GitHub y su pariente cercano GitLab se construyen en torno a la colaboración en proyectos de desarrollo de software. Un desarrollador puede cargar su código y otros pueden ofrecer incorporaciones, correcciones o incluso crear bifurcaciones, que son versiones alternativas de la aplicación o biblioteca. Si un usuario encuentra un error en una aplicación, puede informarlo al desarrollador mediante un informe del problema. Otros usuarios pueden confirmar el problema en los comentarios. También puedes escribir comentarios sobre nuevas versiones de la aplicación. Si es necesario, puedes adjuntar archivos a los comentarios, como capturas de pantalla que muestran el error o documentos que hacen que la aplicación falle. Estos archivos se almacenan en servidores de GitHub mediante enlaces del tipo que describimos anteriormente.

Sin embargo, GitHub tiene una peculiaridad: si un usuario prepara un comentario y carga los archivos adjuntos, pero no hace clic en “Publicar”, la información permanece “atascada” en el borrador y es invisible tanto para el propietario de la aplicación como para otros usuarios de GitHub. Sin embargo, se crea un enlace directo completamente funcional al archivo cargado en el comentario y cualquiera que lo abra recibe el archivo de la CDN de GitHub.

Se genera un enlace de descarga para un archivo malicioso después de que el archivo se añade a un comentario no publicado en GitHub.

Mientras tanto, los propietarios del repositorio donde se publica este archivo en los comentarios no pueden eliminarlo ni bloquearlo. ¡Ni siquiera se enteran! Tampoco hay una configuración para restringir la carga de dichos archivos para el repositorio en su conjunto. La única solución es desactivar los comentarios por completo (en GitHub, puedes hacerlo por hasta seis meses), pero eso privaría a los desarrolladores de recibir comentarios.

El mecanismo de comentarios de GitLab es similar, lo que permite que se publiquen archivos a través de borradores de comentarios. Se puede acceder a los archivos a través de un enlace como gitlab.com/{User_Name}/{Repo_Name}/uploads/{file_Id}/{file_name}.

Sin embargo, el problema en este caso se mitiga un poco por el hecho de que solo los usuarios de GitLab registrados y conectados pueden cargar archivos.

Un regalo para las campañas de phishing

Gracias a la capacidad de publicar archivos arbitrarios en enlaces que comienzan con GitHub/GitLab y que contienen los nombres de desarrolladores respetados y proyectos populares (ya que se puede dejar un comentario no publicado con un archivo en casi cualquier repositorio), los ciberdelincuentes tienen la oportunidad de realizar ataques de phishing muy convincentes. En los repositorios de Microsoft ya se han descubierto campañas maliciosas en las que se dejan “comentarios”, que supuestamente contienen aplicaciones de trucos para juegos.

Un usuario atento podría preguntarse por qué habría trucos de un juego en el repositorio de Microsoft: https://github{.}com/microsoft/vcpkg/files/…../Cheat.Lab.zip. Pero es mucho más probable que las palabras clave “GitHub” y “Microsoft” tranquilicen a la víctima, que no examinará demasiado el enlace. Los delincuentes más inteligentes pueden disfrazar su malware con más cuidado, por ejemplo, presentándolo como una nueva versión de una aplicación distribuida a través de GitHub o GitLab y publicando enlaces a través de “comentarios” en esa aplicación.

Cómo protegerte del contenido malicioso en GitHub y GitLab

Este error de diseño aún no se ha corregido y cualquiera puede cargar archivos arbitrarios libremente en la CDN de GitHub y GitLab, por lo que los usuarios de estas plataformas deben tener mucho cuidado.

• No descargues archivos de enlaces directos de GitHub/GitLab que encuentres en fuentes externas: otros sitios web, correos electrónicos o chats. En su lugar, abre la página del proyecto (github{.}com/{User_Name}/{Repo_Name} o gitlab{.}com/{User_Name}/{Repo_Name}) y asegúrate de que realmente puedas descargar el archivo desde allí. Los archivos oficiales de los desarrolladores deben estar publicados y aparecer en el repositorio.
• Asegúrate de estar en la página de desarrollador correcta: en GitHub, GitLab y otros repositorios de código abierto, los ataques de typosquatting son comunes: la creación de proyectos falsos con nombres que difieren del original en una o dos letras (por ejemplo, Chaddev en lugar de Chatdev).
• Evita descargar aplicaciones que tengan pocas estrellas (me gusta) y que hayan sido creadas recientemente.
• Usa la protección contra malware y phishing en todos tus ordenadores y teléfonos inteligentes. Kaspersky Premium proporciona una protección integral para jugadores y entusiastas de la informática.

Fuente: latam.kaspersky.com

Muse 4.0 es la nueva versión de esta estación de trabajo de audio digital (DAW por sus siglas en inglés) de código abierto, un veterano secuenciador de audio y MIDI con funciones de grabación y edición y ampliable mediante complementos que se renueva para facilitar un poco la vida a los músicos que cuenten con ella como herramienta de creación.

Y es que Muse, a diferencia de otros proyectos de software libre como Ardour o LMMS, tiene una curva de aprendizaje mucho más reducida -también sus opciones son más reducidas, así como no todas comparten el mismo enfoque o van dirigidas al mismo tipo de usuario- que esta nueva versión mayor viene a potenciar con, literalmente, «mejoras en la calidad de vida».

Así se puede leer en el anuncio de lanzamiento en la página del proyecto en GitHub. Si la principal novedad de su anterior versión mayor fue el salto a Qt5, en esta ocasión la atención de sus desarrolladores se ha centrado en rediseñar la interfaz de usuario, incluyendo un nuevo tema oscuro, nuevos iconos, pestañas, barras de herramientas reorganizadas y un largo etcétera de detalles.

Pero no todas las novedades de Muse 4.0 se relegan a la interfaz de la aplicación. También mejora la usabilidad con muchos atajos de teclado nuevos, muchos de ellos enumerados en las operaciones presentes en los menús. Y, por supuesto, Muse 4.0 incluye muchas otras correcciones y mejoras con respecto a su versión estable inmediatamente previa lanzada hace nueve meses.

Hasta aquí, «una lista extremadamente condensada de los cambios más importantes» que recibe Muse 4.0, que como novedad cuenta también con una descarga en formato AppImage (descarga directa, solo para 64-bit) para que cualquiera pueda probarlo todo sin importar la distribución que use y cuándo actualice esta la aplicación.

Para más información, en el caso de que te interese probar Muse y no sepas por dónde empezar, en la página oficial del proyecto encontrarás todas las características explicadas, una wiki, vídeos de demostración y tutoriales y más recursos.

Fuente: www.muylinux.com

Hace unos meses que supimos de la iniciativa Arctic Code Vault, parte del GitHub Archive Program cuya intención es la de preservar para las futuras generaciones todo el software de código abierto que se almacena en sus servidores. Pues bien, la «copia de seguridad ártica» ha comenzado.

En resumen, GitHub almacenará sus repositorios públicos en una bóveda ártica con el objetivo de «preservar todo el software de código abierto para generaciones futuras». Y se trata de un objetivo a muy largo plazo, pues debe asegurar el código almacenado durante los próximos mil años nada menos.

El anuncio se dio durante la última conferencia para desarrolladores que celebró la plataforma a finales del año pasado, y se hizo bajo la premisa de que existen factores para pensar en el «fin del mundo» puede llegar a darse cuando uno menos se lo espera, por lo que la compañía parte de Microsoft quiere guardar el software con toda la seguridad posible.

Para esta iniciativa GitHub se ha asociado con Long Now Foundation, Internet Archive, Software Heritage Foundation, Arctic World Archive, Microsoft Research, Bodleian Library y Stanford Libraries. El programa contempla el almacenaje de datos de manera continuada en varios formatos y ubicaciones entre los que destaca el Arctic World Archive, una bóveda a 250 metros dentro de la misma montaña de Noruega que se utiliza para el banco mundial de semillas.

Los datos se almacenarán en bobinas de película recubiertas con polvo de óxido de hierro cuya duración se estima en mil años, de manera que llegado el caso puedan ser leídas por una computadora o, de producirse un corte de energía global, hasta por los humanos.

Entre los primeros depósitos se encuentran el código fuente de los sistemas operativos Linux y Android, así como una variedad de lenguajes de programación, plataformas web, criptomonedas y herramientas de inteligencia artificial. GitHub planea tener todos los repositorios públicos activos almacenados este mismo febrero.

Los datos se ubicarán junto a archivos de todo el mundo preservados digitalmente, incluyendo obras de arte, música, avances científicos, manuscritos históricos o hallazgos arqueológicos. Si se produce algún tipo de evento apocalíptico, todos estos datos podrían utilizarse para ayudar a reconstruir una sociedad global. De lo contrario, al menos actuará como una valiosa cápsula del tiempo.

«Es fácil imaginar un futuro en el que el software de hoy se vea como una irrelevancia pintoresca y olvidada hace mucho tiempo, hasta que surja una necesidad inesperada. Al igual que cualquier copia de seguridad, el programa GitHub Archive está destinado a cubrir futuros imprevistos», explican.

Fuente: www.muylinux.com

Los responsables de la forja de software más popular del momento han publicado una gráfica que muestra las tendencias en cuanto a los lenguajes de programación utilizados. Una gráfica que contempla desde el lanzamiento del sitio en 2008 hasta este 2015 y cuyo denominador común es el Open Source.

Como se sabe, GitHub se basa en el software de control de versiones Git, creado por Linus Torvalds para gestionar mejor las actualizaciones del kernel Linux y extendido al mundo en forma de plataforma para desarrolladores que triunfa como ninguna otra: en 2010 ya albergaba mas de un millón de proyectos, en 2013 superó los diez millones y el pasado junio la compañía salía a buscar financiación con una valoración de mercado de 2.000 millones de dólares.

Así, y a pesar de que en Ars Technica resaltan el hecho de que el Open Source es la nota dominante en Github, que lo es al menos en los que a lenguajes de programación se refiere, lomás interesante de la gráfica que podéis ver a continuación es la evolución que han experimentado dichos lenguajes a lo largo de los últimos años, sin perder de vista tampoco la evolución de GitHub como plataforma de desarrollo.

Una buena estampa de cómo ha discurrido el mundillo de la programación en los últimos tiempos.

Fuente: www.muylinux.com

Valga la redundancia, ¿cuáles son las licencias Open Source más populares en las plataformas de desarrollo más populares de la actualidad? En GitHub y SourceForge, pero también en CodePlex y la Apache Software Foundation. Vía Phoronix nos encontramos con una infografía que intenta dar respuesta a tales preguntas.

En el caso de la Apache Foundation habréis acertado de manera casi automática, aunque de todo se cuece en esta gran fundación de software libre. En el resto hay más variantes y por ejemplo en GitHub triunfa la licencia MIT, mientras que en SourceForge se mantiene como bastión de la GPL.

En cuanto al sistema de Microsoft para albergar proyectos de código abierto, destacan las propias licencias Open Source de Microsoft, pero cabe un poco de todo: GPL, MIT, LGPL. ¿Y cómo queda el pastel al completo? Eso no lo vamos a descubrir porque las cifras están incompletas, precisamente. Pero la muestra es significativa y como indicador raso hace las veces.

Así, no está de más echarle un vistazo a la siguiente infografía, creada por Protecode y que podéis consultar en calidad original en este enlace (PDF). Tampoco está de más que nos dejéis vuestra opinión: ¿cómo veis el panorama?

Fuente: www.muylinux.com