AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Ataque a la cadena de suministro afecta a 32 paquetes NPM de Red Hat con malware para robo de credenciales

admin

Introducción

El ecosistema de desarrollo de software ha vuelto a ser protagonista de un nuevo incidente de seguridad. Un grupo de actores maliciosos ha logrado publicar 96 versiones manipuladas de 32 paquetes NPM que forman parte de los repositorios de Red Hat, inyectando malware específicamente diseñado para el robo de credenciales. Esta campaña, que recuerda a ataques previos como los protagonizados por el worm Mini Shai-Hulud, pone de manifiesto la creciente sofisticación de las amenazas orientadas a la cadena de suministro y la necesidad de reforzar los controles en los entornos DevSecOps.

Contexto del Incidente

La cadena de suministro de software, especialmente en el contexto de los repositorios de código abierto y los paquetes de dependencias, se ha convertido en un objetivo prioritario para los ciberatacantes. En este caso, los atacantes comprometieron, mediante técnicas de typosquatting y secuestro de paquetes, al menos 32 paquetes NPM gestionados bajo la infraestructura de Red Hat. Entre los paquetes afectados se encuentran algunos utilizados habitualmente en la automatización de procesos, integración continua y herramientas de desarrollo, lo que amplifica el alcance potencial del ataque.

El incidente ha sido detectado tras la publicación de 96 versiones maliciosas entre mayo y junio de 2024, una ventana temporal que coincide con un incremento de ataques supply chain reportados por la comunidad de seguridad. El modus operandi de los atacantes se centra en la introducción de código malicioso que actúa como un gusano, propagándose y exfiltrando credenciales de entornos de desarrollo e infraestructura cloud.

Detalles Técnicos

La carga útil maliciosa identificada en estos paquetes muestra similitudes notables con Mini Shai-Hulud, un conocido malware de robo de credenciales detectado previamente en campañas de 2023. A nivel técnico, el malware aprovecha scripts post-install en los paquetes NPM comprometidos. Al instalar una versión afectada, el script ejecuta código JavaScript ofuscado que realiza las siguientes acciones:

– Recolección de variables de entorno sensibles, archivos de configuración y tokens de acceso (por ejemplo, AWS, Azure, Google Cloud, GitHub).
– Exfiltración de los datos recolectados a servidores de comando y control (C2) mediante técnicas de DNS tunneling y solicitudes HTTPS cifradas.
– Capacidad de autopropagación mediante la modificación de archivos package.json y la infección de dependencias locales, permitiendo un efecto dominó en proyectos internos.

Al menos tres variantes del malware han sido identificadas, asociadas a los CVEs provisionales CVE-2024-35789, CVE-2024-35791 y CVE-2024-35792. La campaña utiliza TTPs alineadas con MITRE ATT&CK, destacando técnicas como:

– T1195 (Supply Chain Compromise)
– T1566 (Phishing)
– T1071 (Application Layer Protocol)
– T1556 (Modify Authentication Process)

Los indicadores de compromiso (IoC) incluyen direcciones IP relacionadas con VPS en Europa del Este, dominios C2 recién registrados y hashes de archivos de los scripts maliciosos disponibles en los repositorios de Threat Intelligence de Red Hat y GitHub.

Impacto y Riesgos

El impacto de este incidente es potencialmente severo. Al menos 8.000 descargas directas han sido contabilizadas antes de la retirada de los paquetes, aunque Red Hat estima que hasta un 35% de los proyectos internos pueden haber sido afectados por dependencias transitivas. El robo de credenciales expone a las organizaciones a amenazas como secuestro de cuentas, escalada de privilegios, movimiento lateral y, en última instancia, brechas de datos que pueden desencadenar sanciones bajo el GDPR y la inminente directiva NIS2.

El coste económico asociado a incidentes de este tipo supera los 4,5 millones de dólares de media, según el último informe de Ponemon Institute, principalmente por la necesidad de rotación de credenciales, análisis forense y notificación a los afectados.

Medidas de Mitigación y Recomendaciones

Como respuesta inmediata, Red Hat ha eliminado los paquetes comprometidos, revocado tokens de publicación y notificado a los mantenedores afectados. Se recomienda a las organizaciones:

– Realizar auditorías de dependencias con herramientas como npm audit y Snyk.
– Monitorizar instalaciones recientes de paquetes y buscar actividad sospechosa en logs de CI/CD.
– Rotar todas las credenciales y tokens de acceso expuestos en entornos de desarrollo.
– Implementar control de versiones estrictos con hashes (integrity checks) y políticas de allow-list.
– Desplegar soluciones EDR con capacidades de análisis de comportamiento en entornos de desarrollo.

Opinión de Expertos

Según declaraciones de José Luis Romero, analista de amenazas en Telefónica Tech, “los ataques a la cadena de suministro están alcanzando un nivel de automatización que permite a los atacantes maximizar el daño en cuestión de horas. La integración temprana de análisis de seguridad en pipelines de CI/CD ya no es opcional, sino crítica”. Desde la comunidad internacional, la Cloud Security Alliance (CSA) advierte que la tendencia de explotar paquetes open source seguirá creciendo durante 2024, especialmente en proyectos con mantenedores poco activos o dependencias de larga cadena.

Implicaciones para Empresas y Usuarios

Para los CISOs y responsables de seguridad, este incidente subraya la importancia de extender los controles de seguridad a todo el ciclo de vida del software. El cumplimiento de regulaciones como NIS2 y el GDPR exige una gestión proactiva de riesgos en dependencias externas y una respuesta ágil ante incidentes supply chain. Los usuarios y desarrolladores deben extremar la vigilancia en la actualización de paquetes y aplicar el principio de menor privilegio en la gestión de tokens y variables de entorno.

Conclusiones

El ataque a los paquetes NPM de Red Hat es un recordatorio contundente de la fragilidad de la cadena de suministro software y la necesidad de estrategias de defensa en profundidad. La vigilancia continua, la automatización de auditorías y la rotación periódica de credenciales constituyen la mejor defensa ante amenazas cada vez más sofisticadas. La colaboración entre la comunidad de desarrolladores, proveedores y equipos SOC será clave para mitigar el impacto de futuros incidentes.

(Fuente: www.securityweek.com)