- CISA ha emitido una alerta sobre un ataque en curso a la cadena de suministro que explota los repositorios de GitHub a través de una extensión VSCode maliciosa de Nx Console y la campaña Megalodon.
- Los actores de amenazas roban secretos de CI/CD, credenciales de nube y tokens envenenando los flujos de trabajo, lo que lleva a CISA a auditar la actividad de los contribuyentes y los archivos de flujo de trabajo.
- Las mitigaciones sugeridas incluyen revisión forense, rotar/revocar todos los secretos de la canalización, fijar versiones de paquetes confiables y retrasar para permitir la detección de la comunidad.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advierte sobre múltiples ataques en curso a la cadena de suministro e insta a los desarrolladores y usuarios de plataformas de código abierto a implementar mitigaciones y proteger sus entornos.
En una alerta de noticias publicada a principios de esta semana, la compañía advirtió sobre ataques a repositorios de GitHub a través de una extensión maliciosa de NX Console Visual Studio Code (VSCCode), así como la campaña de la cadena de suministro de Megalodon. Dijo que estos ataques muestran “cómo los actores de amenazas cibernéticas están abusando de las herramientas y procesos que respaldan los entornos empresariales, de nube y DevOps, particularmente los canales de CI/CD, las extensiones de código y los flujos de trabajo”.
Al explotar un compromiso previo del sistema de desarrollador NX, los actores de amenazas pudieron comprometer el dispositivo de un empleado de GitHub a través de una extensión VSCode maliciosa de terceros, accediendo a sus repositorios y robando información confidencial que se encontraba en su interior.
Asesoramiento CISA
En Megalodon, los piratas informáticos inyectaron flujos de trabajo maliciosos de GitHub Actions para robar secretos de CI/CD, credenciales de nube y tokens, dijo CISA.
Con esto en mente, insta a las organizaciones a monitorear y auditar los archivos de flujo de trabajo y la actividad de los contribuyentes y revertir cualquier cambio no autorizado.
Las organizaciones que descubran una infracción del software de consola GitHub o Nx previamente comprometido deben realizar una revisión forense de los registros de CI/CD, los registros de auditoría de la nube y las máquinas de desarrollador afectadas y rotar/revocar todos los secretos (incluidas todas las credenciales, tokens y secretos, API accesibles para CI/CD, secretos accesibles para CI/CD) (Amazon Web Services, Google Cloud Platform, Microsoft Azure), claves, SSH, Tokens Docker/npm/PyPI/Vault/Terraform/Kubernetes, tokens GitHub/GitLab/Bitbucket y secretos de desarrollador o canalización).
Para utilizar repositorios de paquetes, CISA recomienda esperar al menos tres horas antes de extraer un nuevo paquete, para darle a la comunidad tiempo suficiente para detectar confirmaciones sospechosas o maliciosas. Recomienda fijar software a versiones confiables específicas y extraer paquetes solo de fuentes conocidas y confiables.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
