ClickCease Los repositorios de GitHub, víctimas de un ataque a la cadena de suministro                

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Los repositorios de GitHub, víctimas de un ataque a la cadena de suministro                

Wajahat Raja

12 de octubre de 2023 - Equipo de expertos TuxCare

En un panorama digital plagado de vulnerabilidades, recientemente ha salido a la luz un fenómeno desconcertante. Los repositorios de GitHubla base de numerosos proyectos de software, han sido víctimas de un artero ataque a la cadena de suministro. Este ataque a los repositorios de GitHubdescubierto en julio de 2023implicaba el pirateo de cuentas de GitHub, así como la introducción encubierta de código dañino disfrazado de contribuciones de Dependabot.

Mientras nos adentramos en las complejidades de este peligro, mencionaremos un producto relacionado de TuxCare, que proporciona un método para reforzar sus dependencias de bibliotecas Java.

 

Desvelado el ataque a la cadena de suministro de los repositorios de GitHub

 

La nefasta actividad, que se asemejaba a un ataque a la cadena de suministrocomenzó cuando los investigadores de ciberseguridad descubrieron commits inusuales en cientos de repositorios públicos y privados. Estos commits se hacían pasar por contribuciones reales de Dependabot, llevando por el mal camino a desarrolladores desprevenidos. En defensa contra Dependabots maliciosos en proyectos de GitHubes crucial ser consciente de los riesgos de seguridad de GitHub y las vulnerabilidades de la cadena de suministroespecialmente a la luz de los recientes incidentes relacionados con Dependabots maliciosos.

Dependabot es una herramienta de confianza del ecosistema de GitHub y desempeña un papel importante en la detección de dependencias vulnerables en los proyectos. Genera pull requests automáticamente para actualizar estas dependencias, garantizando la seguridad y estabilidad del proyecto.

 

Intenciones maliciosas

 

Sin embargo, los autores de esta nefasta campaña tenían otros planes. Su objetivo era robar información confidencial, especialmente contraseñas, de los desarrolladores. El malware transfería en secreto los secretos de los proyectos de GitHub a un falso servidor de mando y control. Al mismo tiempo, alteraba los archivos JavaScript existentes en los repositorios objetivo, inyectando código malicioso en un formulario web para robar contraseñas. Este código estaba al acecho para capturar las contraseñas introducidas por usuarios desprevenidos.

Infiltración y suplantación de identidad

 

El ataque comenzó con la adquisición de tokens personales de acceso a GitHub, un movimiento que pasó desapercibido. Con estos tokens en la mano, los actores de la amenaza utilizaron scripts automatizados para crear mensajes de commit con el término "fix", que alude a la cuenta de usuario "dependabot[bot]". Estas falsificaciones actuaban como punto de entrada para la inyección de código malicioso en los repositorios, dando el pistoletazo de salida a su sucia estrategia.

La filtración de secretos

 

La introducción de un archivo de acción de GitHub denominado "hook.yml" ayudó a recuperar los secretos del proyecto. Cada vez que el código se enviaba al repositorio afectado, este archivo iniciaba un nuevo procedimiento. Este método exponía los secretos al servidor de mando y control hostil de forma invisible.

Robo de contraseñas

 

Por otro lado, el componente de robo de contraseñas inyectaba secretamente JavaScript ofuscado en archivos archivos JavaScript (.js)que luego recuperaban un script remoto. Este script remoto monitorizaba los envíos de formularios, recopilando contraseñas cada vez que los usuarios las escribían en los campos de entrada "password".

 

El alcance de este ataque es lo que lo hace tan peligroso. Muchos tokens comprometidos concedían acceso tanto a repositorios públicos como privados de GitHub, lo que provocó un amplio impacto en los repositorios de GitHub. Identificar y mitigar las amenazas relacionadas con Dependabot es esencial para salvaguardar tus repositorios de GitHub de posibles ataques.

El misterio del robo de fichas

 

A pesar de la exhaustiva investigación, la técnica específica mediante la cual los atacantes robaron estos tokens sigue siendo un misterio. Una posible explicación es que una infección de malware, presumiblemente transmitida a través de un paquete malicioso, resultó en la exfiltración de tokens de acceso personal (PAT) almacenados localmente en las máquinas de los desarrolladores. Los PAT, en particular, permiten el acceso a GitHub sin necesidad de autenticación de dos factores (2FA).

Sorprendentemente, la mayoría de las personas comprometidas procedían de Indonesia, lo que indica que se trataba de una operación dirigida específicamente a este grupo demográfico. Sin embargo, se desconoce el método utilizado. Mejorar la seguridad de los repositorios de GitHub tras el ataque a la cadena de suministro para evitar futuras vulnerabilidades.

Una visión más amplia

 

Este acontecimiento pone de relieve los continuos esfuerzos de los actores de amenazas por desestabilizar ecosistemas de código abierto y comprometer las cadenas de suministro de software. En un acontecimiento relacionado, se ha identificado una campaña de filtración de datos dirigida a npm y PyPI. Esta campaña utiliza software falso para recopilar datos informáticos confidenciales y enviarlos a un servidor remoto. Estos sucesos ponen de relieve la importancia de contar con procedimientos de seguridad sólidos en la comunidad de código abierto.

Cadena segura Java de TuxCare: Una solución tangencial

 

Nuestro innovador producto, Java Secure Chainproporciona un repositorio de bibliotecas Java que han sido sometidas a pruebas exhaustivas para detectar vulnerabilidades. Proporciona correcciones para los puntos débiles conocidos, lo que le garantiza que dispone de un repositorio para sus dependencias en el que puede confiar. Dado que el sector del software se enfrenta a dificultades en la cadena de suministro, soluciones como Java Secure Chain ofrecen protección frente a posibles vulnerabilidades en las dependencias de bibliotecas Java.

Conclusión

 

Por último, la infiltración de los repositorios de GitHub por suplantaciones maliciosas de Dependabot sirve de aguda advertencia de las crecientes amenazas en el ámbito digital. Los asaltos a la cadena de suministro siguen siendo un problema en el mundo del desarrollo de software. A medida que nos enfrentamos a estos retos la implantación de soluciones seguras puede reforzar nuestras defensas, proporcionando un entorno de software más seguro y resistente para todos.

La vigilancia y las medidas de seguridad proactivas son nuestros aliados más poderosos en este ecosistema digital en constante cambio. Explore las mejores prácticas para la protección de la cadena de suministro en GitHub para proteger de forma proactiva tus proyectos frente a las amenazas emergentes.

Seamos precavidos y trabajemos juntos para proteger nuestros esfuerzos digitales de la amenaza siempre presente de las amenazas a la cadena de suministro.

Las fuentes de este artículo incluyen artículos en Bleeping Computer y The Hacker News.

 

Resumen
Los repositorios de GitHub, víctimas de un ataque a la cadena de suministro                
Nombre del artículo
Los repositorios de GitHub, víctimas de un ataque a la cadena de suministro                
Descripción
Mantente informado sobre el último ataque a la cadena de suministro en los repositorios de GitHub, donde Dependabots maliciosos están apuntando a tu código. ¡Mantente alerta!
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín