Los desarrolladores de la popular distribución de Linux, hacen públicos los detalles del ataque sufrido en su repositorio de GitHub

En la noche del 28 al 29 de junio de 2018, los desarrolladores de la popular distribución Linux Gentoo advirtieron que los repositorios GitHub oficiales del proyecto fueron pirateados por personas desconocidas. Según la declaración oficial, los piratas informáticos modificaron el contenido de los repositorios y páginas en GitHub.

Los desarrolladores aseguraron que la propia infraestructura de Gentoo no ha visto afectada como resultado del ataque (gentoo.org y el software de software descargado desde la misma). Por lo tanto, los usuarios que no descargaron nada de GitHub, que de hecho es solo un espejo del proyecto, están a salvo. Sin embargo, se pide a todos los usuarios que se aseguren de que rsync o webrsync se hayan configurado en gentoo.org.

Finalmente los desarrolladores han publicado los detalles de lo que sucedido, donde responden a muchas de las preguntas que de la comunidad. Se confirma que el ataque se perpetro la noche del 28 al 29 de junio de 2018. Afortunadamente, el ataque fue detectado rápidamente. El hecho es que inmediatamente después de obtener acceso a la cuenta de GitHub, los atacantes comenzaron a eliminar masivamente a otros desarrolladores, los cuales recibieron por correo las notificaciones automáticas correspondientes, detectando así el ataque. Si los delincuentes hubiesen actuado de una forma más sutil y no hubiesen revelado su presencia tan rápido, las consecuencias podrían haber sido mucho peores.

Según los datos oficiales, los atacantes lograron inyectar contenido malicioso en los siguientes repositorios. Los paréntesis indican el período de tiempo durante el cual la clonación de los repositorios fue una amenaza:

gentoo / gentoo: (2018-06-28 20:38 - 2018-06-29 06:58)
gentoo / musl: (2018-06-28 20:56 - 2018-06-29 06:59)
gentoo / systemd: (2018-06-28 21:07 - 2018-06-29 06:57)

Recordemos que éste no es el primer caso de este tipo que se produce en GitHub en los últimos meses. A mediados de junio de 2018, piratas informáticos desconocidos pusieron en peligro de forma similar la cuenta de la moneda criptográfica oficial de Syscoin en GitHub. En éste caso, los hackers reemplazaron el cliente oficial de Windows por una versión maliciosa que contenía el malware Arkei Stealer. La sustitución fue detectada el 13 de junio.

Además también se informa que los crackers intentaron agregar rm-rf a algunos repositorios, en un intento de borrar todos los archivos de usuario, pero los desarrolladores afirman que esto difícilmente funcionará debido a los mecanismos de protección.