Los atacantes inyectaron el código malicioso en las acciones de GitHub flujos de trabajo en una campaña generalizada para robar tokens de publicación del índice de paquetes de Python (PYPI).
Mientras que algunos tokens almacenados como secretos de GitHub se exfiltraron con éxito, los administradores de PYPI han confirmado que la plataforma en sí no estaba comprometida y los tokens robados no parecen haber sido utilizados.
La campaña de ataque implicó modificar los flujos de trabajo de las acciones de GitHub en una amplia variedad de repositorios. El código malicioso fue diseñado para capturar tokens de publicación de PYPI que se almacenaron como secretos y enviarlos a un servidor externo controlado por los atacantes.
Código malicioso en acciones de Github
Los investigadores de seguridad de Gitguardian descubrieron por primera vez la actividad el 5 de septiembre, cuando informaron un flujo de trabajo sospechoso de acciones de GitHub en un proyecto llamado Fastuuid.
El informe, enviado a través de la herramienta de informes de malware de PYPI, alertó a la seguridad de PYPI sobre el posible intento de exfiltración.
Aunque los atacantes lograron robar algunos tokens, Pypi no ha encontrado evidencia de que se utilicen para publicar paquetes maliciosos o comprometer cuentas en la plataforma.
Siguiendo la inicial informeUn investigador de GitGuardian envió un correo electrónico más detallado a Pypi Security, pero fue enrutado por error a una carpeta de correo no deseado, retrasando la respuesta hasta el 10 de septiembre.
Una vez consciente del alcance completo, los administradores de PYPI comenzaron un proceso de clasificación y colaboraron con Gitguardian, compartiendo un indicador adicional de compromiso (COI) en forma de URL para ayudar a la investigación.
Durante este tiempo, los investigadores ya habían notificado a muchos de los mantenedores de proyectos afectados a través de rastreadores de problemas públicos.
Respondieron volviendo los cambios maliciosos o el empuje de la fuerza para eliminar los flujos de trabajo comprometidos del historial de su repositorio, y muchos también giran proactivamente sus tokens Pypi.
El 15 de septiembre, después de confirmar que no se comprometieron las cuentas de PYPI, el equipo de seguridad de la plataforma invalidó a todos los tokens afectados y notificó formalmente a los mantenedores del proyecto.
Mitigaciones
En respuesta al incidente, Pypi es Recomendando fuertemente que los desarrolladores se alejan de usar tokens API de larga vida para publicar paquetes. La defensa más efectiva contra este tipo de ataque es adoptar editores de confianza.
Esta característica utiliza tokens de corta duración que se generan automáticamente para una ejecución de flujo de trabajo específico y se alcanzan a un repositorio particular, reduciendo significativamente la ventana de oportunidad para los atacantes, incluso si se exfila un token.
Los administradores de PYPI han aconsejado a todos los usuarios que publican paquetes a través de acciones de GitHub que implementen editores confiables de inmediato. Además, se alienta a los desarrolladores a revisar el historial de seguridad de su cuenta en el sitio web de PYPI para cualquier actividad sospechosa.
La contención exitosa de este incidente fue acreditada a la colaboración entre PYPI y los investigadores de seguridad de Gitguardian.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
