15 de julio de 2024Sala de prensaAtaque a la cadena de suministro / Amenaza cibernética Los investigadores de ciberseguridad dijeron que descubrieron un token de GitHub filtrado accidentalmente que podría haber otorgado acceso elevado a los repositorios de GitHub del lenguaje Python, Python Package Index (PyPI) y los repositorios de Python Software Foundation (PSF). JFrog, que encontró el token de acceso personal de GitHub, dijo que el secreto se filtró en un contenedor Docker público alojado en Docker Hub. «Este caso fue excepcional porque es difícil sobreestimar las posibles consecuencias si hubiera caído en las manos equivocadas: uno podría supuestamente inyectar código malicioso en los paquetes de PyPI (imagínese reemplazar todos los paquetes de Python con otros maliciosos), e incluso en el propio lenguaje Python», dijo la empresa de seguridad de la cadena de suministro de software. Un atacante podría haber utilizado hipotéticamente su acceso de administrador para orquestar un ataque a gran escala a la cadena de suministro envenenando el código fuente asociado con el núcleo del lenguaje de programación Python, o el administrador de paquetes de PyPI. JFrog señaló que el token de autenticación se encontró dentro de un contenedor Docker, en un archivo Python compilado («build.cpython-311.pyc») que, sin darse cuenta, no se limpió. Tras la divulgación responsable el 28 de junio de 2024, el token, que se emitió para la cuenta de GitHub vinculada a PyPI Admin Ee Durbin, fue revocado de inmediato. No hay evidencia de que el secreto haya sido explotado en la naturaleza. PyPI dijo que el token se emitió en algún momento antes del 3 de marzo de 2023 y que se desconoce la fecha exacta debido al hecho de que los registros de seguridad no están disponibles más allá de los 90 días. «Mientras desarrollaba cabotage-app5 localmente, trabajando en la parte de compilación de la base de código, me encontraba constantemente con límites de velocidad de la API de GitHub», explicó Durbin. «Estos límites de velocidad se aplican al acceso anónimo. Mientras que en producción el sistema está configurado como una aplicación de GitHub, modifiqué mis archivos locales para incluir mi propio token de acceso en un acto de pereza, en lugar de configurar una aplicación de GitHub localhost. Estos cambios nunca fueron pensados ​​para ser enviados de forma remota». La revelación se produce cuando Checkmarx descubrió una serie de paquetes maliciosos en PyPI que están diseñados para exfiltrar información confidencial a un bot de Telegram sin el consentimiento o conocimiento de las víctimas. Los paquetes en cuestión (testbrojct2, proxyfullscraper, proxyalhttp y proxyfullscrapers) funcionan escaneando el sistema comprometido en busca de archivos que coincidan con extensiones como .py, .php, .zip, .png, .jpg y .jpeg. «El bot de Telegram está vinculado a múltiples operaciones de cibercrimen con base en Irak», dijo el investigador de Checkmarx Yehuda Gelb, señalando que el historial de mensajes del bot se remonta a 2022. «El bot también funciona como un mercado clandestino que ofrece servicios de manipulación de redes sociales. Se lo ha vinculado al robo financiero y explota a las víctimas mediante la exfiltración de sus datos». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.