Volver a 20MINUTOS.ES

Descargas seguras que no lo son: así se coló malware en un software con 1 millón de usuarios

El módulo de la cámara de un móvil junto a una tarjeta RAM
Un malware interviniendo en una estructura de redGenerado con IA
Ciberseguridad
Noticia
Noelia Murillo

Un grupo de atacantes explotó una vulnerabilidad que le dio acceso a claves de firma y otro tipo de información confidencial de desarrolladores.

Un grupo de ciberatacantes ha explotado una vulnerabilidad en el flujo de trabajo de la cuenta de unos desarrolladores de software; una brecha que le dio acceso a sus claves de firma y a otros datos personales y de carácter confidencial.

El objetivo de estos era element-data, una plataforma de comandos desarrollada por Elementary que permite a los desarrolladores monitorizar el rendimiento y detectar anomalías en sistemas de aprendizaje automático.

Según los desarrolladores, al ejecutarse este ataque, el paquete malicioso contaba con el permiso de rastrear los sistemas en busca de datos confidenciales, como perfiles de usuario, credenciales de almacenamiento de datos o claves de proveedores en la nube.

Hacker controla Linux
Una nueva vulnerabilidad de Linux bautizada como Pack2TheRoot permite obtener acceso como administrador de forma muy sencilla

Ejecutaron script bash dentro de la cuenta vulnerada

Tal y como recoge Ars Technica, la versión maliciosa ha sido identificada como 0.23.3 y se ha publicado en el Índice de Paquetes de Python, así como en las cuentas de la también plataforma para desarrolladores Docker.

Con esta brecha, los atacantes obtuvieron acceso a la cuenta de los desarrolladores explotando una vulnerabilidad que ellos mismos habían creado. A continuación, multiplicaron código malicioso en una solicitud de extracción y ejecutaron un script bash en la cuenta del desarrollador.

Un script bash es un archivo de texto plano que contiene una secuencia de comandos de terminal ejecutados de manera secuencial, que permite automatizar tareas repetitivas, gestionar sistemas, combinar comandos y procesar datos.

De esta manera, el script bash obtuvo los datos confidenciales, como las claves de firma, para después publicar un paquete de datos maliciosos prácticamente idéntico a otro de carácter legítimo.

Windows tiene una nueva vulnerabilidad.
Alerta PhantomRPC, la vulnerabilidad no parcheada de Windows que permite escalar los privilegios

Una brecha eliminada unas horas después de ser descubierta

Esta iteración fue eliminada unas 12 horas después de su intervención y. ninguna otra aplicación salió indemne, como Elementary Cloud, el paquete Elementary dbt y todas las demás versiones de esta interfaz de línea de comandos (CLI).

"Los usuarios que instalaron la versión 0.23.3 o que descargaron y ejecutaron la versión de Docker afectada deben asumir que cualquier credencial accesible al entorno donde se ejecutó podría haber quedado expuesta", han concretado los desarrolladores en GitHub.

Conviene apuntar que fue un tercero quien informó de esta vulnerabilidad, motivo por el que los desarrolladores de Element indicaron que también modificaron todas las credenciales a las que tenía acceso el código malicioso.

No está de más recordar que los flujos de trabajo de repositorios desarrollados por los usuarios, como GitHub Actions, son conocidos por albergar vulnerabilidades; lo que representa un problema grave para los proyectos open code con repositorios abiertos.

Más información sobre:

Ver sus artículos

Noelia Murillo

Redactora

Noelia Murillo, redactora de Computer Hoy. Realiza pruebas de producto, reportajes y noticias de actualidad relacionadas con el sector. También te cuenta lo que ha analizado en redes sociales.