npm (el administrador de paquetes de Node.js) pip (el instalador de paquetes de Python) git (un sistema de control de versiones) kubectl (una herramienta de línea de comandos de Kubernetes) terraform (una herramienta de infraestructura como código) gcloud (interfaz de línea de comandos de Google Cloud) heroku (la interfaz de línea de comandos de Heroku) dotnet (la interfaz de línea de comandos para .NET Core) “Cada uno de estos comandos se usa ampliamente en diversos entornos de desarrollo, lo que los convierte en objetivos atractivos para los atacantes que buscan maximizar el impacto de sus paquetes maliciosos”, dice el informe. Otra táctica de secuestro de comandos se ha denominado «envoltura de comandos». En lugar de reemplazar un comando, un atacante crea un punto de entrada que actúa como envoltorio alrededor del comando original. Este enfoque sigiloso permite a los atacantes mantener el acceso a largo plazo y potencialmente filtrar información confidencial sin levantar sospechas, dice el informe. Sin embargo, agrega, implementar el ajuste de comandos requiere investigación adicional por parte del atacante. Necesitan comprender las rutas correctas para los comandos específicos en diferentes sistemas operativos y tener en cuenta posibles errores en su código. Esta complejidad aumenta con la diversidad de sistemas a los que se dirige el ataque. Una tercera táctica sería crear complementos maliciosos para herramientas y marcos populares. Por ejemplo, si un atacante quisiera apuntar al marco de prueba pytest de Python, crearía un complemento que parece ser una utilidad para ayudar en las pruebas que utiliza el punto de entrada de pytest. El complemento podría entonces ejecutar código malicioso en segundo plano o permitir que código vulnerable o con errores pase controles de calidad.