Se ha observado una nueva campaña maliciosa que secuestra cuentas de GitHub y comete código malicioso disfrazado de contribuciones de Dependabot con el objetivo de robar contraseñas de los desarrolladores.
«El código malicioso filtra los secretos definidos del proyecto GitHub a un servidor C2 malicioso y modifica cualquier archivo javascript existente en el proyecto atacado con un código de malware ladrón de contraseñas en formato web que afecta a cualquier usuario final que envíe su contraseña en un formulario web», Checkmarx dijo en un informe técnico.
El malware también está diseñado para capturar secretos y variables de GitHub en un servidor remoto mediante una acción de GitHub.
La firma de seguridad de la cadena de suministro de software dijo que observó compromisos atípicos en cientos de repositorios públicos y privados de GitHub entre el 8 y el 11 de julio de 2023.
Se ha descubierto que a las víctimas les robaron sus tokens de acceso personal de GitHub y los actores de amenazas los utilizaron para realizar confirmaciones de código malicioso en los repositorios de los usuarios haciéndose pasar por Dependabot.
Dependabot está diseñado para alertar a los usuarios sobre vulnerabilidades de seguridad en las dependencias de un proyecto generando automáticamente solicitudes de extracción para mantenerlas actualizadas.
«Los atacantes accedieron a las cuentas utilizando PAT (Token de acceso personal) comprometidos, muy probablemente exfiltrados silenciosamente del entorno de desarrollo de la víctima», dijo la compañía. La mayoría de los usuarios comprometidos se encuentran en Indonesia.
Sin embargo, el método exacto por el cual pudo haber ocurrido este robo no está claro actualmente, aunque se sospecha que pudo haber involucrado un paquete malicioso instalado inadvertidamente por los desarrolladores.
El desarrollo destaca los continuos intentos por parte de los actores de amenazas de envenenar los ecosistemas de código abierto y facilitar los compromisos de la cadena de suministro.
Esto se evidencia en una nueva campaña de exfiltración de datos dirigida tanto a npm como a PyPI que utiliza hasta 39 paquetes falsificados para recopilar información confidencial de la máquina y transmitir los detalles a un servidor remoto.
Los módulos, publicados durante varios días entre el 12 y el 24 de septiembre de 2023, demuestran un aumento progresivo en la complejidad, el alcance y las técnicas de ofuscación, dijo Phylum .
La compañía israelí también está rastreando lo que caracterizó como una gran campaña de typosquat dirigida a npm, en la que se utilizan 125 paquetes disfrazados de angular y reaccionar para enviar información de la máquina a un canal remoto de Discord.
Sin embargo, la actividad parece ser parte de un «proyecto de investigación», y el autor afirma que se realiza para «descubrir si alguno de los programas de recompensas por errores en los que estoy participando se ve afectado por uno de los paquetes para poder ser el primero en notificarles y proteger su infraestructura.»
«Esto viola la Política de uso aceptable del npm, y este tipo de campañas ejercen presión sobre las personas encargadas de mantener limpios estos ecosistemas», advirtió Phylum.
Fuente y redacción: thehackernews.com
