Los desarrolladores que publican crates (binarios y bibliotecas escritos en Rust) en crates.io , el principal registro de paquetes público de Rust, han sido blanco de correos electrónicos que se hacen eco de la reciente campaña de phishing de npm .
El correo electrónico de phishing
Los correos electrónicos comenzaron a llegar a las bandejas de entrada de los desarrolladores el viernes, minutos después de que publicaran una (nueva) caja en el registro.
Los correos electrónicos, titulados “Importante: Notificación de violación de seguridad con respecto a crates.io” y aparentemente enviados por la Fundación Rust, afirmaban que un atacante había comprometido la infraestructura de crates.io y accedido a cierta información de los usuarios.
“Actualmente estamos redactando una entrada de blog para describir el cronograma y las medidas que tomamos para mitigar esto. Mientras tanto, le recomendamos encarecidamente que cambie su información de inicio de sesión iniciando sesión aquí en nuestro SSO interno. Esta es una solución temporal para garantizar que el atacante no pueda modificar ningún paquete publicado por usted”, concluyó el correo electrónico .
El enlace incluido apuntaba a github.rustfoundation.dev , un dominio intencionadamente similar al oficial de Rust Foundation ( rustfoundation.org ). El dominio de phishing albergaba una página de inicio de sesión de GitHub falsa:
(La mayoría de los proyectos y cajas de Rust están alojados en GitHub, y los desarrolladores que publican en crates.io inician sesión con sus credenciales de GitHub).
Las secuelas
Algunos de los objetivos informaron los correos electrónicos al Grupo de Trabajo de Respuesta de Seguridad de Rust y al equipo de crates.io, y rápidamente emitieron una advertencia.
“Estos correos electrónicos son maliciosos y provienen de un nombre de dominio no controlado por la Fundación Rust (ni por el Proyecto Rust), aparentemente con el propósito de robar sus credenciales de GitHub. No tenemos evidencia de que la infraestructura de crates.io haya sido comprometida”, señalaron.
Estamos tomando medidas para que el nombre de dominio sea dado de baja y para monitorear cualquier actividad sospechosa en crates.io. Si recibe estos correos electrónicos, no siga ningún enlace y márquelos como phishing con su proveedor de correo electrónico.
Es difícil decir en este momento si alguno de los destinatarios del correo electrónico había sido engañado e ingresado sus credenciales en la página de phishing.
Como señaló el desarrollador Andrew Gallant (también conocido como BurntSushi) , este fue un «intento decente de [phishing]» que logró pasar el filtro de spam de Gmail, y algunas de las cosas que le hicieron evidente que se trataba de un intento de phishing podrían no ser tan obvias para aquellos que están menos «en contacto con la organización Rust y cómo funcionan realmente las cosas».
La página de phishing actualmente es inaccesible, pero una instantánea capturada el viernes muestra que la página de phishing fue reemplazada relativamente rápido con un «anuncio», en el que el atacante afirmó tener la «base de datos crates.io junto con tokens jugosos» y que planea venderla.
Tobias Bieniek, codirector del equipo crates.io, afirmó que enviaron un correo electrónico al equipo de seguridad de GitHub y que están monitoreando las creaciones de tokens API para detectar actividad sospechosa.
Compromiso de registros de código
La semana pasada, un desarrollador que mantiene varios paquetes npm populares sufrió un robo de identidad en sus credenciales de inicio de sesión de npmjs.com y su autenticación de dos factores tras ser engañado con un correo electrónico falso de alerta de seguridad que parecía provenir del Registro de npm. Otros desarrolladores también fueron víctimas del mismo correo electrónico, y varios de ellos también cayeron en la trampa.
Fuente y redacción: helpnetsecurity.com / Zeljka Zorz
