gitcdn.xyz ¿amenaza?

Mosqueperro · 20 Marzo 2021, 19:27 PM

Buenas tardes, últimamente me salta "frecuentemente" aviso en el Bitdefender de conexión sospechosa bloqueada desde firefox. El causante parece ser "gitcdn.xyz".
Por lo que he podido leer puede ser algo de ublock origin, peor no estoy seguro.
¿Alguien sabe algo?
Gracias.

Danielㅤ · 20 Marzo 2021, 20:16 PM

Hola, esa página te hace ejecutar este script:

https://greasyfork.org/scripts/414249-github-gitcdn-button/code/Github%20GitCDN%20Button.user.js

Saludos

Mosqueperro · 20 Marzo 2021, 20:24 PM

Cita de: [D]aniel en 20 Marzo 2021, 20:16 PM
Hola, esa página te hace ejecutar este script:

https://greasyfork.org/scripts/414249-github-gitcdn-button/code/Github%20GitCDN%20Button.user.js

Saludos

Pero yo no entré a esa página.

Danielㅤ · 20 Marzo 2021, 20:30 PM

CitarPero yo no entré a esa página.

Pero tú antivirus te informa que está bloqueando una conexión sospechosa de ésta página "gitcdn.xyz" y en esa página hay un script en javascript con la URL sospechosa.

Saludos

Mosqueperro · 20 Marzo 2021, 20:49 PM

Cita de: [D]aniel en 20 Marzo 2021, 20:30 PM
Pero tú antivirus te informa que está bloqueando una conexión sospechosa de ésta página "gitcdn.xyz" y en esa página hay un script en javascript con la URL sospechosa.

Saludos

Luego, si no estoy entrando en esa página ni nada parecido ¿cómo puede ser posible?

Xyzed · 20 Marzo 2021, 23:14 PM

Cita de: Mosqueperro en 20 Marzo 2021, 20:49 PM
Luego, si no estoy entrando en esa página ni nada parecido ¿cómo puede ser posible?

Hay varias posibilidades, una puede ser que alguna página a la que si accedes puede estar interceptada, y están enviando peticiones sin que te des cuenta a gitcdn.xyz.

Mosqueperro · 21 Marzo 2021, 00:27 AM

Cita de: Xyzed en 20 Marzo 2021, 23:14 PM
Hay varias posibilidades, una puede ser que alguna página a la que si accedes puede estar interceptada, y están enviando peticiones sin que te des cuenta a gitcdn.xyz.

Puede ser, lleva ya horas sin salirme el aviso, así que debe ser de alguna web que tuviera abierta. Aunque no tenía ninguna web sospechosa abierta.

He encontrado este hilo no sé qué opinión tenéis.
https://www.reddit.com/r/uBlockOrigin/comments/ivwx4v/what_is_gitcdnxyz/

Mosqueperro · 21 Marzo 2021, 11:22 AM

Acabo de hacer una nueva prueba, Bitdefender me ha puesto el siguiente mensaje:
"Característica:
Prevención de amenazas online

firefox.exe ha intentado establecer una conexión confiando en un certificado que no coincide con gitcdn.xyz. Hemos bloqueado la conexión para mantener sus datos a salvo ya que el certificado utilizado se emitió para una dirección web diferente a la del sitio de destino."

Las únicas páginas que tenía abierta en Firefox eran Twitch (con varias pestañas de streams) en navegación normal y en vetana privada el foro de elhacker.net.

¿Alguien que pueda echarme una manilla? me gustaría salir de dudas y descifrar el enigma

kub0x · 21 Marzo 2021, 15:23 PM

Cita de: Mosqueperro en 21 Marzo 2021, 11:22 AM
Acabo de hacer una nueva prueba, Bitdefender me ha puesto el siguiente mensaje:
"Característica:
Prevención de amenazas online

firefox.exe ha intentado establecer una conexión confiando en un certificado que no coincide con gitcdn.xyz. Hemos bloqueado la conexión para mantener sus datos a salvo ya que el certificado utilizado se emitió para una dirección web diferente a la del sitio de destino."

Las únicas páginas que tenía abierta en Firefox eran Twitch (con varias pestañas de streams) en navegación normal y en vetana privada el foro de elhacker.net.

¿Alguien que pueda echarme una manilla? me gustaría salir de dudas y descifrar el enigma

Si visitamos gitcdn.xyz nos damos cuenta de que su certificado no incluye en el campo CN o SAN el nombre del dominio gitcdn.xyz, por lo tanto Firefox o cualquier programa que sepa como evaluar certificados a la hora de conectarnos a un sitio remoto nos dará un aviso de que el sitio no es confiable.

En realidad gitcdn.xyz es confiable, solo que su certificado esta asignado a *.herokuapp.com (wildcard) y no a gitcdn.xyz. El autor de la website podría arreglarlo para que en los AV o navegadores web no salten alertas.

Resumiendo, no hay peligro alguno.

Saludos.

Mosqueperro · 21 Marzo 2021, 15:40 PM

Cita de: kub0x en 21 Marzo 2021, 15:23 PM
Si visitamos gitcdn.xyz nos damos cuenta de que su certificado no incluye en el campo CN o SAN el nombre del dominio gitcdn.xyz, por lo tanto Firefox o cualquier programa que sepa como evaluar certificados a la hora de conectarnos a un sitio remoto nos dará un aviso de que el sitio no es confiable.

En realidad gitcdn.xyz es confiable, solo que su certificado esta asignado a *.herokuapp.com (wildcard) y no a gitcdn.xyz. El autor de la website podría arreglarlo para que en los AV o navegadores web no salten alertas.

Resumiendo, no hay peligro alguno.

Saludos.

Gracias por tu mensaje y aclaración.
La cuestión es ¿cómo interactúa esa web con Firefox? sin estar yo en ella directamente. Es lo que me tiene intrigado.