Repositorios de GitHub afectados por confirmaciones de robo de contraseñas disfrazadas de contribuciones de Dependabot


28 de septiembre de 2023THNCadena de suministro/malware

Se ha observado una nueva campaña maliciosa que secuestra cuentas de GitHub y comete código malicioso disfrazado de contribuciones de Dependabot con el objetivo de robar contraseñas de los desarrolladores.

“El código malicioso filtra los secretos definidos del proyecto GitHub a un servidor C2 malicioso y modifica cualquier archivo javascript existente en el proyecto atacado con un código de malware ladrón de contraseñas en formato web que afecta a cualquier usuario final que envíe su contraseña en un formulario web”, Checkmarx dicho en un informe técnico.

El malware también está diseñado para capturar secretos y variables de GitHub en un servidor remoto mediante una acción de GitHub.

La seguridad cibernética

La firma de seguridad de la cadena de suministro de software dijo que observó compromisos atípicos en cientos de repositorios públicos y privados de GitHub entre el 8 y el 11 de julio de 2023.

Se ha descubierto que a las víctimas les robaron sus tokens de acceso personal de GitHub y los actores de amenazas los utilizaron para realizar confirmaciones de código malicioso en los repositorios de los usuarios haciéndose pasar por Dependabot.

Dependabot está diseñado para alertar a los usuarios sobre vulnerabilidades de seguridad en las dependencias de un proyecto automáticamente generando solicitudes de extracción para mantenerlos actualizados.

Confirmaciones de robo de contraseñas

“Los atacantes accedieron a las cuentas utilizando PAT (Token de acceso personal) comprometidos, muy probablemente exfiltrados silenciosamente del entorno de desarrollo de la víctima”, dijo la compañía. La mayoría de los usuarios comprometidos se encuentran en Indonesia.

Sin embargo, por el momento no está claro el método exacto por el cual pudo haberse producido este robo, aunque se sospecha que pudo haber involucrado un paquete deshonesto instalado inadvertidamente por los desarrolladores.

El desarrollo destaca los continuos intentos por parte de los actores de amenazas de envenenar los ecosistemas de código abierto y facilitar los compromisos de la cadena de suministro.

Esto se evidencia en una nueva campaña de exfiltración de datos dirigida tanto a npm como a PyPI que utiliza hasta 39 paquetes falsificados para recopilar información confidencial de la máquina y transmitir los detalles a un servidor remoto.

PRÓXIMO SEMINARIO WEB

Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación

¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados ​​por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.

Potencia tus habilidades

Los módulos, publicados durante varios días entre el 12 y el 24 de septiembre de 2023, demuestran un aumento progresivo en la complejidad, el alcance y las técnicas de ofuscación, Phylum dicho.

La compañía israelí también está rastreando lo que caracterizó como una gran campaña de typosquat dirigida a npm, en la que se utilizan 125 paquetes disfrazados de angular y reaccionar para enviar información de la máquina a un canal remoto de Discord.

Sin embargo, la actividad parece ser parte de un “proyecto de investigación”, y el autor afirma que se realiza para “descubrir si alguno de los programas de recompensas por errores en los que estoy participando se ve afectado por uno de los paquetes para poder ser el primero en notificarles y proteger su infraestructura.”

“Esto viola la Política de Uso Aceptable del npm, y este tipo de campañas ejercen presión sobre las personas encargadas de mantener limpios estos ecosistemas”, Phylum. advertido.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57