06 de septiembre de 2024Ravie LakshmananSeguridad de software / Piratería informática Los actores de amenazas han aprovechado durante mucho tiempo el typosquatting como un medio para engañar a los usuarios desprevenidos para que visiten sitios web maliciosos o descarguen software y paquetes con trampas explosivas. Estos ataques suelen implicar el registro de dominios o paquetes con nombres ligeramente alterados de sus contrapartes legítimas (por ejemplo, goog1e.com frente a google.com). Los adversarios que apuntan a repositorios de código abierto en todas las plataformas han dependido de que los desarrolladores cometan errores tipográficos para iniciar ataques a la cadena de suministro de software a través de PyPI, npm, Maven Central, NuGet, RubyGems y Crate. Los últimos hallazgos de la empresa de seguridad en la nube Orca muestran que incluso GitHub Actions, una plataforma de integración y entrega continuas (CI/CD), no es inmune a la amenaza. «Si los desarrolladores cometen un error tipográfico en su GitHub Action que coincide con la acción de un typosquatter, las aplicaciones podrían ejecutar código malicioso sin que el desarrollador se dé cuenta», dijo el investigador de seguridad Ofir Yakobi en un informe compartido con The Hacker News. El ataque es posible porque cualquiera puede publicar una GitHub Action creando una cuenta de GitHub con una cuenta de correo electrónico temporal. Dado que las acciones se ejecutan dentro del contexto del repositorio de un usuario, una acción maliciosa podría explotarse para alterar el código fuente, robar secretos y usarlo para distribuir malware. Todo lo que implica la técnica es que el atacante cree organizaciones y repositorios con nombres que se parezcan mucho a las GitHub Actions populares o ampliamente utilizadas. Si un usuario comete errores ortográficos involuntarios al configurar una GitHub Action para su proyecto y esa versión mal escrita ya ha sido creada por el adversario, entonces el flujo de trabajo del usuario ejecutará la acción maliciosa en lugar de la prevista. «Imagina una acción que extrae información confidencial o modifica el código para introducir errores sutiles o puertas traseras, lo que podría afectar a todas las compilaciones e implementaciones futuras», dijo Yakobi. «De hecho, una acción comprometida puede incluso aprovechar tus credenciales de GitHub para enviar cambios maliciosos a otros repositorios dentro de tu organización, lo que amplifica el daño en varios proyectos». Orca dijo que una búsqueda en GitHub reveló hasta 198 archivos que invocan «action/checkout» o «actons/checkout» en lugar de «actions/checkout» (observa la «s» y la «i» que faltan), lo que pone en riesgo todos esos proyectos. Esta forma de typosquatting es atractiva para los actores de amenazas porque es un ataque de bajo costo y alto impacto que podría resultar en importantes compromisos de la cadena de suministro de software, afectando a varios clientes posteriores a la vez. Se recomienda a los usuarios que vuelvan a verificar las acciones y sus nombres para asegurarse de que hagan referencia a la organización de GitHub correcta, que se ciñan a las acciones de fuentes confiables y que escaneen periódicamente sus flujos de trabajo de CI/CD en busca de problemas de typosquatting. «Este experimento pone de relieve lo fácil que es para los atacantes explotar el typosquatting en GitHub Actions y la importancia de la vigilancia y las mejores prácticas para prevenir este tipo de ataques», dijo Yakobi. «El problema real es aún más preocupante porque aquí sólo estamos destacando lo que sucede en los repositorios públicos. El impacto en los repositorios privados, donde los mismos errores tipográficos podrían estar provocando graves violaciones de seguridad, sigue siendo desconocido». ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.