GitHub es una plataforma ampliamente utilizada para alojar una variedad de proyectos en línea. Se trata de un entorno de desarrollo colaborativo que permite a los usuarios trabajar en conjunto. En él, se pueden encontrar numerosas aplicaciones de código abierto. No obstante, los cibercriminales pueden aprovechar la reputación de este servicio para llevar a cabo estafas. Eso es precisamente lo que ha sucedido y aquí te contamos los detalles.
El equipo de Inteligencia y Amenazas, Mitigación y Escalada (TIME, por sus siglas en inglés) de LastPass, ha estado monitoreando una campaña que utiliza enlaces falsos de GitHub para atacar a usuarios de macOS. En su blog corporativo, en una publicación del 18 de septiembre, compartieron sus hallazgos sobre este asunto.
Creación de páginas fraudulentas en GitHub
Los cibercriminales están creando repositorios falsos de GitHub que simulan ofrecer descargas de software legítimo, específicamente dirigidos a usuarios de macOS. Para que estos enlaces lleguen a las víctimas potenciales, han utilizado técnicas de SEO para aparecer en los motores de búsqueda. Así, cuando la víctima realiza una búsqueda, ve el resultado correspondiente y piensa que está accediendo a GitHub, pero en realidad se trata de un fraude.
Esta campaña, según lo indicado por LastPass, ha demostrado el uso de técnicas avanzadas de ingeniería social y SEO. Gracias a esto, han conseguido que esos enlaces maliciosos aparezcan en buscadores tan conocidos como Google o Bing. Por lo tanto, esto puede impactar a muchos usuarios que, de manera inocente, buscan software para descargar. Medios como GB Hackers, especializados en ciberseguridad, han reportado este problema, que forma parte de una tendencia creciente conocida como SEO poisoning.
Los investigadores de LastPass descubrieron que habían creado dos sitios falsos en GitHub que pretendían ser su servicio. Estos repositorios incluían títulos atractivos con nombres de empresas y terminología específica de Mac, como “MacOS”, “Mac” o “Premium en MacBook”. Todo esto estaba diseñado para llevar al usuario a instalar LastPass en su sistema operativo.
Lo mismo ocurre con otras numerosas marcas y empresas. Cuando la víctima hace clic, en realidad es redirigida a la web “macprograms-pro[.]com/mac-git-2-download.html”, según indican desde LastPass. Este sitio solicita a la víctima que copie y pegue un comando en la Terminal, lo que resulta en la descarga e instalación de un archivo que simula ser una actualización, pero en realidad se trata de un troyano.
Esta página estaba activa al momento de escribir este artículo. Desde RedesZone, realizamos un análisis a través de Virus Total, una de las plataformas más reconocidas para detectar amenazas en línea, y obtuvimos resultados esperados, marcando el sitio como peligroso. A continuación, dejamos la captura.
El problema sigue vigente. LastPass, junto a otras empresas, está vigilando y tratando de desactivar estos sitios que representan un verdadero riesgo para los usuarios.
Recomendaciones a seguir
Es crucial que mantengas el sentido común ante este tipo de ataques. Verificar la URL a la que accedes es esencial. Esto es importante incluso si accedes desde buscadores como Google o Bing, ya que todo puede ser una trampa. El objetivo es que puedas identificar si realmente te encuentras en un enlace de GitHub o si se trata de una página fraudulenta.
Si recibes enlaces directamente por correo electrónico, redes sociales o los encuentras en foros de Internet, debes tener precaución. Nunca debes iniciar sesión ni proporcionar datos a través de estos enlaces. Lo mejor es que siempre accedas a la página oficial y asegures que estás en el sitio legítimo.
Además, mantener tu equipo protegido es muy importante. Asegúrate de tener un buen antivirus y de contar con las últimas actualizaciones del sistema. Esto te ayudará a corregir vulnerabilidades que puedan existir. Si notas algo sospechoso, es fundamental que lo reportes, tal como indican desde INCIBE, el Instituto Nacional de Ciberseguridad de España.
Es importante destacar que este no es un problema de GitHub en sí. No se trata de una vulnerabilidad de esta plataforma que haya sido explotada por los atacantes, sino de sitios web que imitan a GitHub. Es un fenómeno similar al que ocurre cuando los cibercriminales crean páginas falsas de bancos, redes sociales, etc.
Preguntas frecuentes
¿Es seguro usar GitHub?
GitHub es una plataforma confiable donde los desarrolladores publican software de código abierto. El problema en este caso radica en que se crean sitios falsos que simulan ser de GitHub.
¿Qué debo hacer si soy víctima de este ataque?
Se trata de un troyano, un stealer, que puede robar datos personales. Esto podría comprometer tus contraseñas y permitir que un atacante tome el control de tu dispositivo.
¿Un antivirus me protege de esto?
Tener un antivirus es crucial para detectar y eliminar amenazas, pero esto no garantiza una protección total. Es recomendable combinarlo con otras medidas, como mantener el sistema actualizado.
