{"id":1350122,"date":"2024-09-06T22:29:01","date_gmt":"2024-09-06T22:29:01","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-acciones-de-github-son-vulnerables-a-errores-tipograficos-y-exponen-a-los-desarrolladores-a-codigo-malicioso-oculto\/"},"modified":"2024-09-06T22:29:05","modified_gmt":"2024-09-06T22:29:05","slug":"las-acciones-de-github-son-vulnerables-a-errores-tipograficos-y-exponen-a-los-desarrolladores-a-codigo-malicioso-oculto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-acciones-de-github-son-vulnerables-a-errores-tipograficos-y-exponen-a-los-desarrolladores-a-codigo-malicioso-oculto\/","title":{"rendered":"Las acciones de GitHub son vulnerables a errores tipogr\u00e1ficos y exponen a los desarrolladores a c\u00f3digo malicioso oculto"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>6 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad de software \/ Pirater\u00eda inform\u00e1tica<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los actores de amenazas han aprovechado durante mucho tiempo el typosquatting como un medio para enga\u00f1ar a usuarios desprevenidos para que visiten sitios web maliciosos o descarguen software y paquetes con trampas.<\/p>\n

Estos ataques generalmente implican el registro de dominios o paquetes con nombres ligeramente modificados respecto de sus contrapartes leg\u00edtimas (por ejemplo, goog1e.com vs. google.com).<\/p>\n

Los adversarios que atacan repositorios de c\u00f3digo abierto en distintas plataformas han recurrido a errores tipogr\u00e1ficos de los desarrolladores para iniciar ataques a la cadena de suministro de software a trav\u00e9s de PyPI, npm, Maven Central, NuGet, RubyGems y Crate.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Los \u00faltimos hallazgos de la empresa de seguridad en la nube Orca muestran que incluso Acciones de GitHub<\/a>una plataforma de integraci\u00f3n continua y entrega continua (CI\/CD), no es inmune a la amenaza.<\/p>\n

“Si los desarrolladores cometen un error tipogr\u00e1fico en su acci\u00f3n de GitHub que coincide con la acci\u00f3n de un typosquatter, las aplicaciones podr\u00edan ejecutar c\u00f3digo malicioso sin que el desarrollador se d\u00e9 cuenta”, dijo el investigador de seguridad Ofir Yakobi. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

El ataque es posible porque cualquiera puede publicar una acci\u00f3n de GitHub creando una cuenta de GitHub con una cuenta de correo electr\u00f3nico temporal. Dado que las acciones se ejecutan dentro del contexto del repositorio de un usuario, una acci\u00f3n maliciosa podr\u00eda ser explotada para alterar el c\u00f3digo fuente, robar secretos y usarlo para distribuir malware.<\/p>\n

Todo lo que implica la t\u00e9cnica es que el atacante cree organizaciones y repositorios con nombres que se asemejen mucho a las Acciones de GitHub populares o ampliamente utilizadas.<\/p>\n

Si un usuario comete errores ortogr\u00e1ficos involuntarios al configurar una acci\u00f3n de GitHub para su proyecto y esa versi\u00f3n mal escrita ya fue creada por el adversario, entonces el flujo de trabajo del usuario ejecutar\u00e1 la acci\u00f3n maliciosa en lugar de la prevista. <\/p>\n

“Imag\u00ednese una acci\u00f3n que extrae informaci\u00f3n confidencial o modifica el c\u00f3digo para introducir errores sutiles o puertas traseras, lo que podr\u00eda afectar todas las compilaciones e implementaciones futuras”, dijo Yakobi.<\/p>\n

“De hecho, una acci\u00f3n comprometida puede incluso aprovechar sus credenciales de GitHub para enviar cambios maliciosos a otros repositorios dentro de su organizaci\u00f3n, amplificando el da\u00f1o en m\u00faltiples proyectos”.<\/p>\n

Orca dijo que una b\u00fasqueda en GitHub revel\u00f3 hasta 198 archivos que invocan “action\/checkout” o “actons\/checkout” en lugar de “acciones\/pago<\/a>” (n\u00f3tese la “s” y la “i” que faltan) poniendo en riesgo todos esos proyectos.<\/p>\n

Esta forma de typosquatting es atractiva para los actores de amenazas porque es un ataque de bajo costo y alto impacto que podr\u00eda resultar en importantes compromisos de la cadena de suministro de software, afectando a varios clientes a la vez.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

Se recomienda a los usuarios que verifiquen dos veces las acciones y sus nombres para asegurarse de que hagan referencia a la organizaci\u00f3n de GitHub correcta, que utilicen acciones de fuentes confiables y que escaneen peri\u00f3dicamente sus flujos de trabajo de CI\/CD para detectar problemas de typosquatting.<\/p>\n

“Este experimento resalta lo f\u00e1cil que es para los atacantes explotar el typosquatting en GitHub Actions y la importancia de la vigilancia y las mejores pr\u00e1cticas para prevenir tales ataques”, dijo Yakobi.<\/p>\n

“El problema actual es a\u00fan m\u00e1s preocupante porque aqu\u00ed s\u00f3lo estamos destacando lo que ocurre en los repositorios p\u00fablicos. Se desconoce el impacto en los repositorios privados, donde los mismos errores tipogr\u00e1ficos podr\u00edan provocar graves violaciones de seguridad”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n