Ciberseguridad 360 | Repositorios GitHub comprometidos: secretos filtrados

Un ataque a la cadena de suministro que implica flujos de trabajo maliciosos de GitHub Action ha afectado a cientos de repositorios y miles de secretos, seg�n revel� la empresa de seguridad para desarrolladores GitGuardian.

La empresa se dio cuenta el 2 de septiembre de que la cuenta de GitHub del mantenedor de un proyecto llamado FastUUID, que GitGuardian utiliza internamente, hab�a sido comprometida y se hab�a inyectado un archivo de flujo de trabajo malicioso en el proyecto.

Los flujos de trabajo de GitHub Action permiten a los desarrolladores automatizar tareas de desarrollo que normalmente realizar�an manualmente. El flujo de trabajo a�adido al proyecto FastUUID estaba dise�ado para recoger secretos y enviarlos a un servidor controlado por el atacante.

En el caso del proyecto FastUUID, el atacante obtuvo un token PyPI utilizado para el despliegue de paquetes. Mientras que el token podr�a haber permitido al hacker comprometer el paquete FastUUID en PyPI, no hay indicios de que esto ocurriera antes de que el commit malicioso fuera descubierto y revertido.

Sin embargo, un an�lisis m�s detallado realizado por los investigadores de GitGuardian demostr� que el ataque a FastUUID formaba parte de una campa�a a gran escala que la empresa de seguridad ha bautizado como GhostAction.

Los indicadores de compromiso (IoC) revelaron que la campa�a se hab�a dirigido a 327 usuarios de GitHub y 817 repositorios.

El atacante enumer� secretos de archivos de flujos de trabajo leg�timos y luego codific� los nombres de los secretos en flujos de trabajo maliciosos. Se filtraron m�s de 3.300 secretos, incluidas credenciales de DockerHub, tokens de GitHub y tokens de NPM, as� como secretos asociados a Sonar, Confluence e instancias de AWS.

"Las conversaciones iniciales con los desarrolladores afectados confirmaron que los atacantes estaban explotando activamente los secretos robados, incluidas las claves de acceso de AWS y las credenciales de la base de datos", dijo GitGuardian.

"Se descubri� que varias empresas ten�an toda su cartera de SDK comprometida, con flujos de trabajo maliciosos que afectaban simult�neamente a sus repositorios de Python, Rust, JavaScript y Go", a�adi�.

Muchos de los repositorios afectados revirtieron los cambios maliciosos y la mayor�a del resto han sido notificados por GitGuardian. Los equipos de seguridad de GitHub, PyPI y NPM tambi�n han sido alertados.

"Estamos manteniendo una vigilancia continua de esos y otros registros de paquetes para verificar que no se utilizaron tokens comprometidos para publicar artefactos maliciosos", dijo la firma de seguridad. "De nuestras investigaciones iniciales, hasta ahora, 9 paquetes NPM y 15 PyPI est�n en riesgo de compromiso en las pr�ximas horas o d�as".

GitGuardian se�al� que la campa�a GhostAction no parece estar vinculada al reciente ataque S1ngularity.

Fuente: securityweek