Hackers comprometen imágenes Docker y extensiones VSCode de KICS para robar datos de entornos de desarrollo

Introducción

En un incidente de seguridad reciente que pone de manifiesto los crecientes riesgos en la cadena de suministro de software, actores maliciosos han comprometido imágenes Docker y extensiones de Visual Studio Code (VSCode) y Open VSX asociadas a KICS (Keeping Infrastructure as Code Secure), la popular herramienta de análisis de seguridad desarrollada por Checkmarx. El objetivo de los atacantes era recolectar información sensible de los entornos de desarrollo, afectando potencialmente a miles de organizaciones que confían en KICS para la detección de vulnerabilidades en su infraestructura como código.

Contexto del Incidente

El incidente fue detectado tras el descubrimiento de versiones maliciosas tanto en los repositorios oficiales de Docker Hub como en los marketplaces de extensiones de VSCode y Open VSX. Estos repositorios son ampliamente utilizados por desarrolladores, DevOps y equipos de seguridad para integrar KICS en pipelines CI/CD y entornos de desarrollo, lo que amplifica el alcance potencial del ataque. La campaña maliciosa, que se estima activa desde finales de mayo de 2024, se suma a una tendencia preocupante de ataques a la cadena de suministro de software, evidenciando la sofisticación y persistencia de los adversarios.

Detalles Técnicos

Las imágenes Docker comprometidas estaban etiquetadas con versiones aparentemente legítimas, incluyendo la 1.7.8 y 1.8.0, pero contenían scripts maliciosos insertados en las capas intermedias. Estos scripts estaban diseñados para exfiltrar variables de entorno, archivos de configuración y credenciales a servidores controlados por los atacantes mediante conexiones HTTPS cifradas. Asimismo, las extensiones de VSCode y Open VSX manipuladas, con nombres y descripciones idénticas a las oficiales, incluían código JavaScript ofuscado que interceptaba comandos, capturaba tokens de acceso, claves SSH y fragmentos de código fuente al detectar operaciones de análisis o despliegue.

El vector de ataque principal consistió en la publicación de versiones trojanizadas en los marketplaces oficiales, aprovechando la confianza de los usuarios en la procedencia y validación de estos recursos. Adicionalmente, se identificaron técnicas de persistencia y evasión, como la modificación de scripts de arranque (entrypoint) en Docker y la utilización de módulos Node.js ofuscados en las extensiones de VSCode.

En términos de TTPs (tácticas, técnicas y procedimientos) según el framework MITRE ATT&CK, los atacantes emplearon:

– T1195 (Supply Chain Compromise)
– T1566 (Phishing, para la distribución inicial)
– T1041 (Exfiltration Over C2 Channel)
– T1036 (Masquerading, mediante la suplantación de versiones legítimas)

Como IoC (Indicadores de Compromiso), se han identificado hashes SHA256 de las imágenes y extensiones manipuladas, direcciones IP de servidores de comando y control, y patrones de tráfico HTTPS anómalos hacia dominios no asociados a Checkmarx.

Impacto y Riesgos

El impacto de esta brecha de seguridad es significativo, dada la elevada adopción de KICS en entornos empresariales y en proyectos open source. Según estimaciones preliminares, más de 35.000 descargas de imágenes Docker y 20.000 instalaciones de extensiones VSCode/Open VSX podrían estar afectadas. Las consecuencias incluyen la filtración de credenciales de acceso a repositorios, claves API, secretos de infraestructura y código propietario, lo que puede derivar en ataques de escalada, movimientos laterales o incluso ransomware dirigido.

Este incidente también expone riesgos de cumplimiento normativo bajo el marco GDPR y la Directiva NIS2, ya que la pérdida de datos personales o confidenciales puede acarrear sanciones económicas significativas y la obligación de notificar a las autoridades y a los afectados en plazos muy estrictos.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos derivados de este incidente, los equipos de seguridad y operaciones deben:

1. Revisar inmediatamente las versiones de imágenes Docker y extensiones KICS utilizadas, verificando los hashes publicados por Checkmarx.
2. Eliminar y reemplazar cualquier recurso potencialmente comprometido.
3. Rotar todas las credenciales, claves y tokens que hayan podido ser expuestos.
4. Implementar controles de integridad y verificación de firmas digitales en las herramientas de la cadena de suministro.
5. Monitorizar el tráfico de red en busca de conexiones hacia los IoCs publicados y revisar los logs de acceso para detectar actividades inusuales.
6. Adoptar soluciones de EDR/XDR y análisis de comportamiento para entornos de desarrollo y CI/CD.
7. Formar a los desarrolladores en prácticas seguras de consumo de software de terceros.

Opinión de Expertos

Especialistas en ciberseguridad como Daniel López, CISO en una multinacional tecnológica, advierten que “este incidente demuestra la urgente necesidad de controles estrictos sobre la procedencia y validación de artefactos software, especialmente en los repositorios públicos que sirven de pilar para el desarrollo moderno”. Por su parte, consultores de S21sec y Deloitte han publicado avisos recomendando la implantación de soluciones SBOM (Software Bill of Materials) y la integración de escaneos automáticos en pipelines DevSecOps.

Implicaciones para Empresas y Usuarios

Las organizaciones afectadas, especialmente aquellas en sectores críticos o regulados, se enfrentan a riesgos reputacionales, pérdidas económicas y potenciales brechas de datos sensibles. Este caso refuerza la necesidad de adoptar un enfoque “zero trust” en el consumo de componentes de terceros y de reforzar la vigilancia sobre las dependencias software, incluso en herramientas consideradas de confianza.

Conclusiones

El compromiso de imágenes Docker y extensiones VSCode de KICS evidencia que la cadena de suministro de software sigue siendo un objetivo prioritario para los actores maliciosos. La confianza ciega en recursos de terceros sin mecanismos robustos de validación expone a empresas y desarrolladores a riesgos críticos. Es esencial reforzar la higiene digital, implementar controles de seguridad en la cadena de suministro y mantenerse al día de los IoCs y actualizaciones publicados por los proveedores.

(Fuente: www.bleepingcomputer.com)