Los desarrolladores de GitHub están en la mira de una nueva herramienta de phishing llamada GoIssue, y la situación no pinta nada bien. Esta herramienta está ayudando a los ciberdelincuentes a lanzar ataques masivos por correo electrónico, robando credenciales y poniendo en peligro proyectos completos. Si trabajas con GitHub, es momento de estar alerta.
Este programa, creado por un actor de amenazas conocido como cyberdluffy (o Cyber D' Luffy), empezó a venderse en el foro Runion a principios de agosto. Según su creador, GoIssue está diseñado para que los ciberdelincuentes puedan sacar provecho de los perfiles públicos de GitHub, extrayendo direcciones de correo electrónico y enviando campañas masivas directamente a las bandejas de entrada de los usuarios.
"Si quieres llegar a una audiencia específica o ampliar tu alcance, GoIssue te da la precisión y la potencia que necesitas", presumió el creador en su anuncio. "GoIssue puede enviar correos masivos a usuarios de GitHub, directo a sus bandejas de entrada y enfocado en cualquier destinatario".
¿Qué es GoIssue y por qué es una amenaza?
Esta nueva herramienta representa un "cambio peligroso en el phishing dirigido", ya que puede convertirse en una puerta de entrada para robar código fuente, comprometer cadenas de suministro y acceder a redes corporativas, todo gracias al uso de credenciales de desarrolladores comprometidas.
Con la información obtenida, los atacantes son capaces de lanzar campañas de correo masivo altamente personalizadas, diseñadas para evitar los filtros de spam y dirigidas a comunidades específicas de desarrolladores.
En cuanto al precio, no es precisamente accesible, pero sí atractivo para los ciberdelincuentes. La versión personalizada de la herramienta comenzó costando 700 dólares, mientras que el acceso al código fuente completo alcanzaba los 3000 dólares. Sin embargo, desde octubre de 2024, los precios bajaron drásticamente a 150 dólares por la versión personalizada y 1000 dólares por el código completo, como parte de una promoción especial para los primeros compradores.
¿Y cómo funciona un ataque con esta herramienta? Los atacantes pueden usarla para enviar correos electrónicos masivos que redirigen a las víctimas hacia páginas falsas. Estas páginas están diseñadas para robar credenciales, instalar malware o hacer que los usuarios autoricen aplicaciones OAuth maliciosas, permitiendo el acceso a repositorios privados y datos confidenciales.
Por si fuera poco, el creador de esta herramienta, conocido como cyberdluffy, también tiene un historial preocupante. En su perfil de Telegram asegura ser parte de Gitloker, un grupo que ha estado involucrado en campañas de extorsión dirigidas a usuarios de GitHub. En el pasado, estas campañas se basaban en engañar a las víctimas haciéndose pasar por equipos de seguridad o recursos humanos de GitHub, persuadiéndolas para que hicieran clic en enlaces maliciosos.
En pocas palabras, esta herramienta no es solo una amenaza más en la lista; su diseño y propósito la convierten en un serio problema para cualquier persona o empresa que dependa de plataformas de desarrollo colaborativo.
Los atacantes están usando una estrategia bastante ingeniosa: envían enlaces maliciosos a través de correos que GitHub genera automáticamente. ¿Cómo lo hacen? Etiquetan cuentas de desarrolladores en comentarios de spam sobre problemas abiertos o solicitudes de extracción usando cuentas ya comprometidas. Estos correos parecen completamente legítimos, pero llevan a páginas falsas que piden al desarrollador iniciar sesión en su cuenta de GitHub y autorizar una nueva aplicación OAuth, supuestamente para "postularse a nuevos trabajos".
Si el desarrollador, sin sospechar nada, autoriza la aplicación maliciosa, los atacantes obtienen acceso completo. Lo que sigue es devastador: eliminan todo el contenido de los repositorios y lo reemplazan con una nota de rescate que exige contactar a un tal Gitloker en Telegram.
Lo más alarmante es que herramientas como GoIssue facilitan que estos correos maliciosos lleguen de forma masiva y directa a miles de desarrolladores al mismo tiempo. Esto no solo amplía el alcance de los ataques, sino que también aumenta las posibilidades de éxito, poniendo en riesgo datos sensibles, proyectos y repositorios enteros. Una vez más, se demuestra que una herramienta en manos equivocadas puede causar estragos en toda la comunidad tecnológica.
Podría interesarte leer: Uso de Wazuh para Monitorear GitHub
¿Qué pueden hacer los usuarios de Github para protegerse?
Protegerse de ataques como los que involucran herramientas como GoIssue requiere una combinación de buenas prácticas, configuración adecuada de seguridad y estar alerta ante posibles señales de phishing. Aquí tienes algunos consejos clave para mantener tus cuentas y proyectos seguros:
1. Activa la autenticación en dos factores (2FA): Este es uno de los pasos más importantes para proteger tu cuenta. Con 2FA, incluso si un atacante obtiene tu contraseña, necesitará un segundo factor (como un código generado por una app o enviado a tu teléfono) para acceder a tu cuenta. En GitHub, puedes activarlo desde la configuración de seguridad.
2. Verifica los permisos de las aplicaciones OAuth: Revisa regularmente qué aplicaciones de terceros tienen acceso a tu cuenta de GitHub. Solo autoriza aquellas que sean absolutamente necesarias y de confianza. Si una aplicación solicita permisos excesivos o parece sospechosa, no la autorices. Puedes gestionar estas aplicaciones desde el panel de configuraciones de GitHub, en la sección "Aplicaciones autorizadas".
3. Sé crítico con los enlaces en correos electrónicos: Si recibes un correo que parece venir de GitHub, evita hacer clic en enlaces directamente. En su lugar, inicia sesión en GitHub desde tu navegador y verifica manualmente cualquier notificación o actividad sospechosa. Presta atención especial a las URLs: un dominio mal escrito o extraño puede ser una señal de phishing.
4. Protege tus repositorios con controles de acceso: Asegúrate de configurar correctamente los permisos de tus repositorios, especialmente si trabajas en equipo. Limita el acceso solo a quienes lo necesiten y utiliza ramas protegidas para evitar cambios directos en el código principal.
5. Cuidado con los comentarios y solicitudes sospechosas: Si ves que te etiquetan en comentarios extraños, especialmente en problemas abiertos o solicitudes de extracción que no parecen relevantes, ten cuidado. No hagas clic en los enlaces de esos comentarios y repórtalos a GitHub como spam.
6. Cambia tus contraseñas regularmente: Utiliza contraseñas fuertes y únicas para tu cuenta de GitHub. Un gestor de contraseñas puede ser de gran ayuda para generar y almacenar contraseñas seguras.
7. Mantente actualizado con las notificaciones de seguridad de GitHub: GitHub tiene una sección dedicada a notificaciones de seguridad. Consulta regularmente esta sección para estar al tanto de vulnerabilidades que podrían afectar tus proyectos o dependencias.
8. Educa a tu equipo: Si trabajas con otros desarrolladores, asegúrate de que todos estén al tanto de los riesgos y sepan cómo detectar intentos de phishing. La seguridad es tan fuerte como el eslabón más débil, y un equipo bien informado reduce las probabilidades de caer en una trampa.
Conoce más sobre: ¿Qué pasa si no inviertes en concientización en ciberseguridad?
Conclusión
El phishing dirigido está en aumento, y herramientas como GoIssue lo hacen más peligroso. Mantener una postura proactiva de seguridad es esencial para proteger tus proyectos y credenciales en GitHub. La clave está en combinar tecnología, buenas prácticas y un ojo crítico para evitar caer en manos de atacantes. Tu cuenta y tus proyectos valen el esfuerzo.
