Se ha observado una nueva campaña de ataque a la cadena de suministro de software que utiliza paquetes durmientes como conducto para impulsar posteriormente cargas útiles maliciosas que permitieron el robo de credenciales, la manipulación de GitHub Actions y la persistencia de SSH.
La actividad se ha atribuido a la cuenta de GitHub «BufferZoneCorp,», que ha publicado un conjunto de repositorios asociados con gemas Ruby maliciosas y módulos Go. Al momento de escribir este artículo, los paquetes han sido retirados de RubyGems y los módulos Go han sido bloqueados. Los nombres de las bibliotecas se enumeran a continuación:
- Rubí:
- registrador de soporte activo de nudos
- nudo-idear-jwt-ayudante
- tienda-de-sesiones-en-nudos
- tubería-de-activos-de-rieles-de-nudos
- nudo-rspec-formateador-json
- nudo-fecha-utils-rb (gema durmiente)
- nudo-simple-formateador (gema durmiente)
- Ir:
- github[.]es/BufferZoneCorp/go-metrics-sdk
- github[.]es/BufferZoneCorp/go-weather-sdk
- github[.]es/BufferZoneCorp/go-retryablehttp
- github[.]es/BufferZoneCorp/go-stdlib-ext
- github[.]es/BufferZoneCorp/grpc-client
- github[.]es/BufferZoneCorp/net-helper
- github[.]es/BufferZoneCorp/config-loader
- github[.]com/BufferZoneCorp/log-core (módulo durmiente)
- github[.]com/BufferZoneCorp/go-envconfig (módulo durmiente)
Los paquetes identificados se hacen pasar por módulos reconocibles y conocidos como activesupport-logger, devise-jwt, go-retryablehttp, grpc-client y config-loader para evadir la detección y engañar a los usuarios para que los descarguen.
«La cuenta es parte de una campaña de la cadena de suministro de software dirigida a desarrolladores, corredores de CI y entornos de construcción en dos ecosistemas», dijo el investigador de seguridad de Socket Kirill Boychenko. dicho en un análisis publicado hoy.
Las gemas Ruby están diseñadas para automatizar el robo de credenciales durante el tiempo de instalación, recolectando variables de entorno, claves SSH, secretos de AWS, .npmrc, .netrc, configuración de GitHub CLI y credenciales de RubyGems. Los datos robados luego se filtran a un Webhook controlado por el atacante.[.]punto final del sitio.
Por otro lado, los módulos Go albergan capacidades más amplias para alterar los flujos de trabajo de GitHub Actions, colocar envoltorios Go falsos, robar datos de desarrolladores y agregar una clave pública SSH codificada a «~/.ssh/authorized_keys» para acceso remoto al host comprometido. No todos los módulos tienen la misma carga útil; en cambio, están distribuidos por todo el grupo.
«El módulo se ejecuta a través de init(), detecta GITHUB_ENV y GITHUB_PATH, configura HTTP_PROXY y HTTPS_PROXY, escribe un ejecutable go falso en un directorio de caché y agrega ese directorio a la ruta del flujo de trabajo para que el contenedor se seleccione antes que el binario real», explicó Boychenko.
«Ese contenedor puede luego interceptar o influir en ejecuciones posteriores y al mismo tiempo pasar el control al binario legítimo para evitar interrumpir el trabajo».
Se recomienda a los usuarios que hayan instalado los paquetes que los eliminen de sus sistemas, revisen los signos de acceso a archivos confidenciales o cambios no autorizados en «~/.ssh/authorized_keys», roten las credenciales expuestas e inspeccionen los registros de red para detectar tráfico HTTPS saliente al punto de exfiltración.
Fuente