GoIssue: una nueva pesadilla cibernética para los desarrolladores

Investigadores en el campo de la ciberseguridad están alarmados por una nueva herramienta llamada GoIssue, desarrollada para ataques de phishing masivos dirigidos a usuarios de GitHub. La herramienta apareció por primera vez en agosto de 2024 en el foro Runion, donde fue promocionada por un cibercriminal bajo el alias de cyberdluffy (también conocido como Cyber D'Luffy).

GoIssue permite a los atacantes extraer direcciones de correo electrónico de perfiles públicos en GitHub y enviar mensajes de phishing directamente a las bandejas de entrada de los usuarios. Según el creador, la herramienta permite apuntar a desarrolladores, evadiendo los filtros de spam y llegando directamente a sus buzones de correo.

La empresa SlashNext destaca que este enfoque de los atacantes abre una nueva era de ataques de phishing dirigidos, que podrían resultar en el robo de código fuente, la compromisión de cadenas de suministro y la infiltración en redes corporativas mediante credenciales de desarrolladores.

La herramienta GoIssue se vende en dos versiones: una versión personalizada por $700 y su código fuente por $3000. Sin embargo, a partir del 11 de octubre de 2024, los precios se redujeron a $150 y $1000 para los primeros cinco compradores.

Un ejemplo de ataque potencial incluye redirigir a las víctimas a páginas falsas donde se roban credenciales, se descarga malware o se instala una aplicación OAuth no confiable para acceder a repositorios privados.

También es interesante el perfil de cyberdluffy en Telegram, donde afirma ser miembro del equipo Gitloker Team, un grupo previamente involucrado en ataques de extorsión a usuarios de GitHub. Los criminales envían enlaces a través de correos electrónicos de phishing, activados tras mencionar cuentas de desarrolladores en comentarios spam. El objetivo es forzar a la víctima a proporcionar acceso a datos privados y, posteriormente, eliminar todos los repositorios, dejando solo una nota de rescate.

Paralelamente a SlashNext, especialistas de Perception Point identificaron un nuevo ataque de phishing de dos etapas, que utiliza archivos de Microsoft Visio (.vsdx) y SharePoint para robar datos. Los correos con propuestas de colaboración se envían desde cuentas ya comprometidas, lo que permite eludir los sistemas de protección.

Al hacer clic en el enlace del correo, la víctima es redirigida a una página de SharePoint con un archivo Visio adjunto que lleva a una página falsa de inicio de sesión de Microsoft 365. Estos ataques de múltiples etapas se están volviendo cada vez más comunes, aprovechando la confianza de los usuarios en plataformas conocidas para evadir los sistemas de seguridad estándar.