2 min de lectura

La brecha en npm de AsyncAPI afectó a múltiples pipelines de lanzamiento

Upwind afirma que los atacantes comprometieron varios paquetes npm oficiales de AsyncAPI al vulnerar múltiples repositorios y pipelines de publicación.

Imagen: TNW

Un ataque coordinado contra paquetes npm oficiales de AsyncAPI parece haber ido mucho más allá de una sola dependencia envenenada. En una nueva investigación, la firma de seguridad en la nube Upwind dijo que los atacantes comprometieron múltiples repositorios y pipelines de publicación, lo que les permitió enviar código con puerta trasera a través de canales de lanzamiento legítimos.

Según Upwind, la campaña afectó a varias partes del ecosistema AsyncAPI. Los investigadores confirmaron compromisos en dos repositorios de GitHub separados y más tarde encontraron un segundo compromiso de repositorio independiente. También vieron ataques dirigidos a diferentes ramas de lanzamiento y el abuso de distintas identidades de publicación de OpenID Connect (OIDC) en un corto periodo, lo que sugiere que los atacantes tenían acceso a más de una vía para publicar paquetes.

Lo que llamó la atención fue cómo se ejecutaba el código malicioso. Upwind afirmó que los atacantes no se apoyaron en los habituales scripts npm preinstall o postinstall asociados a menudo con ataques a la cadena de suministro. En cambio, el código se ejecutaba durante las importaciones normales de paquetes o por otras vías de ejecución, lo que lo hacía más difícil de detectar con herramientas de seguridad que principalmente vigilan los eventos de instalación.

Upwind indicó que la misma infraestructura y patrones de malware aparecían repetidamente en los repositorios y pipelines comprometidos, lo que apunta a una única operación coordinada dirigida al propio proceso de lanzamiento de software.

Recomendado

Los enlaces t.me de Telegram vuelven tras un contratiempo por sanciones

“No se trató solo de un paquete malicioso: fue una vulneración de la confianza. Varios paquetes oficiales de AsyncAPI se publicaron con código con puerta trasera desde repositorios y pipelines de publicación separados, lo que demuestra que los atacantes apuntan cada vez más al propio proceso de lanzamiento del software.”

Amiram Shachar, CEO y cofundador de Upwind

La advertencia va más allá de los mantenedores de paquetes. Dado que los paquetes afectados se publicaron por canales oficiales y parecían legítimos, las estaciones de trabajo de los desarrolladores y los entornos CI/CD que los importaron deberían tratarse como potencialmente comprometidos, dijo Upwind.

La empresa recomienda que las organizaciones:

  • Comprobar si versiones afectadas de los paquetes entraron en los entornos de desarrollo
  • Verificar las versiones exactas de las dependencias en lugar de asumir que las versiones actuales son seguras
  • Anclar las dependencias a versiones verificadas
  • Revisar las actualizaciones de dependencias, los lockfiles y las listas de materiales de software (SBOM) en busca de cambios inesperados
  • Rotar las credenciales que fueran accesibles desde máquinas de desarrolladores afectadas o runners de CI/CD

Upwind dijo que continúa monitoreando la campaña mientras los atacantes se orientan hacia técnicas que se activan durante el comportamiento ordinario de la aplicación en lugar de durante la instalación de paquetes.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía TNW

// Sigue leyendo