Se ha detectado una nueva y sofisticada ola de campañas de phishing en las que actores de amenazas están explotando las funciones legítimas de notificación de plataformas de desarrollo y gestión empresarial ampliamente confiables, específicamente Atlassian Jira y GitHub. Al abusar de la infraestructura de envío de correos de estas herramientas, los atacantes logran eludir los filtros de seguridad de correo electrónico tradicionales (Secure Email Gateways), distribuyendo enlaces maliciosos y robando credenciales de desarrolladores, personal de TI y equipos ejecutivos con un alto grado de éxito.
Anatomía del Ataque
El vector de ataque se basa en la manipulación de la confianza y el abuso de funcionalidades automatizadas, dividiéndose en dos frentes principales:
- Explotación a través de Atlassian Jira:
- Utilizan las funciones nativas de “invitación a proyectos” o “comentarios en tickets” para enviar mensajes a sus objetivos.
- Dado que el correo se origina en un servidor real de Jira, cuenta con firmas digitales válidas, eludiendo fácilmente los filtros antispam. El mensaje llega a la bandeja de entrada pareciendo una actualización de trabajo estándar o una mención urgente de un colega.
- Manipulación de Webhooks y OAuth en GitHub:
- Los cibercriminales identifican repositorios populares y registran aplicaciones de terceros (GitHub Apps) maliciosas.
- Al interceptar las notificaciones mediante webhooks, logran modificar campos específicos para inyectar código HTML o formularios fraudulentos.
- La notificación se retransmite a través del servicio de correo oficial de GitHub, conservando registros DKIM y SPF perfectamente válidos.
- El HTML inyectado suele presentar una falsa “Alerta de Seguridad” (por ejemplo, advertencias de inicios de sesión inusuales) que urge a la víctima a hacer clic en un enlace. Este enlace redirige a una infraestructura controlada por el atacante o solicita la autorización de una aplicación OAuth maliciosa.
Impacto
Al aprovechar dominios altamente confiables, estas campañas presentan una tasa de clics alarmantemente alta. El impacto incluye:
- Toma de Control de Cuentas y Repositorios: Al autorizar aplicaciones OAuth fraudulentas, los atacantes obtienen permisos críticos sobre los repositorios de GitHub de la víctima (leer, escribir, eliminar código, gestionar miembros), lo que abre la puerta a masivos ataques a la cadena de suministro de software.
- Robo de Credenciales Privilegiadas: Los atacantes obtienen acceso a tokens de sesión y contraseñas a través de formularios superpuestos, comprometiendo la infraestructura interna.
- Infección Posterior: Las víctimas suelen ser redirigidas a través de cadenas de acortadores de URL para descargar malware secundario (como InfoStealers o troyanos de acceso remoto) bajo la apariencia de actualizaciones o herramientas de seguridad.
Recomendaciones y Mitigación
Debido a que estas amenazas provienen de infraestructuras tecnológicas legítimas, la defensa requiere controles estrictos de identidad y políticas de confianza cero (Zero Trust):
- Refuerzo de Autenticación: Obligar al uso de Autenticación Multifactor (MFA) resistente al phishing (como llaves de seguridad de hardware FIDO2) para todos los desarrolladores y usuarios administrativos. Esto neutraliza drásticamente el robo simple de contraseñas.
- Auditoría de Integraciones (OAuth/Apps): Los administradores de TI deben revisar y revocar inmediatamente cualquier aplicación OAuth de terceros o GitHub App sospechosa, no reconocida o que exija permisos excesivos sobre las organizaciones corporativas.
- Filtrado Avanzado de Correo: Configurar las plataformas de seguridad de correo (EDR/XDR para email) para que inspeccionen más a fondo el cuerpo y los enlaces dentro de las notificaciones de Jira y GitHub, buscando cadenas de redirección URL anómalas o dominios de baja reputación alojados en plataformas de alojamiento en la nube.
- Concienciación Dirigida: Instruir a los equipos de desarrollo para que nunca autoricen aplicaciones de terceros o restablezcan contraseñas haciendo clic directamente en enlaces recibidos por correo electrónico. Cualquier alerta de seguridad debe verificarse accediendo manualmente a la plataforma oficial a través del navegador.
