Uno pensaría que, al ser Github un repositorio de proyectos de código abierto, los hackers no deberían tener un interés tan amplio en esta plataforma, sin embargo, desde que el malware de minería existe, también ha crecido la obsesión por atacar los servicios relacionados con Github y ocultar scripts de minería en el navegador a través de los sitios vulnerados.
Un informe de seguridad de la firma Sucuri ha revelado una nueva forma de ataque implementada por los hackers, donde no cargaron malware directamente en los dominios de Github, sino en un servicio no oficial relacionado con la plataforma.
En concreto, se trata del servicio CDN ‘RawGit’, que permite almacenar los archivos de Github de forma indefinida, incluso si los archivos originales ya fueron eliminados de Github o si el usuario en cuestión eliminó su cuenta.
Los investigadores descubrieron la operación de minería basada en el navegador en una cuenta de Github llamada jdobt, que representa la secuencia de comandos en caché del criptominero dentro de RawGit, y posteriormente se elimina la cuenta original de Github.
Luego, los hackers introdujeron esta secuencia de comandos del criptomonero en los sitios atacados a través de la URL de RawGit, ya que este dominio no es considerado como sospechoso, por lo que no es detectado por ningún software de seguridad como malicioso. Según Sucuri, se trata de un método ingenioso, ya que utiliza un servicio que sólo conocen los desarrolladores web, y que se usa a veces para la funcionalidad de vista previa en HTML.
Pese a ello, la campaña de malware desplegada por los hackers no parece tener un final agradable para ellos, y es que los delincuentes aparentemente tuvieron inconvenientes para cargar el script de minería en los sitios atacados, por lo que no pudieron obtener ningún tipo de ganancia a partir de su técnica. Asimismo, los hackers no contaron con la rápida respuesta del equipo de Sucuri, que eliminó las URL en caché rápidamente luego de publicar su informe inicial.
