### Crece la Amenaza: Nuevos Workflows de GitHub Actions Comprometidos por Malware de Robo de Credenciales
#### 1. Introducción
Los incidentes de seguridad en la cadena de suministro continúan escalando a medida que actores maliciosos perfeccionan sus técnicas para atacar plataformas críticas. Recientemente, se ha confirmado que dos workflows de GitHub Actions, mantenidos por la empresa de seguridad de la cadena de suministro Checkmarx, han sido comprometidos por un malware especializado en el robo de credenciales. El responsable del ataque es el grupo TeamPCP, previamente vinculado al incidente de la cadena de suministro contra Trivy, y conocido por su sofisticación en entornos cloud-native. Este incidente pone en entredicho la seguridad de los procesos automatizados en entornos DevSecOps y destaca la necesidad de reforzar las medidas de protección en CI/CD.
#### 2. Contexto del Incidente o Vulnerabilidad
El compromiso afecta directamente a los siguientes repositorios de GitHub Actions:
– `checkmarx/ast-github-action`
– `checkmarx/kics-github-action`
Ambos workflows son ampliamente utilizados por organizaciones que buscan incorporar análisis de seguridad automatizados en sus pipelines de integración y entrega continuas (CI/CD). El incidente fue detectado tras la identificación de comportamientos anómalos y la presencia de artefactos maliciosos en los entornos de ejecución de los workflows.
El grupo TeamPCP ha demostrado un conocimiento avanzado de los entornos cloud y una clara orientación hacia la exfiltración de credenciales, tokens y otros secretos que, una vez comprometidos, permiten movimientos laterales, escalada de privilegios o incluso ataques a la propia cadena de suministro de software.
#### 3. Detalles Técnicos
##### 3.1. CVE y Versiones Afectadas
Hasta el momento, no se ha asignado un CVE específico, pero ambos workflows afectados presentan vulnerabilidades de tipo «Insecure Workflow Configuration». Se ha confirmado que las versiones comprometidas incluyen las releases publicadas entre el 12 de abril y el 28 de mayo de 2024.
##### 3.2. Vectores de Ataque
El vector inicial se basa en la manipulación de los workflows a través de pull requests maliciosos o la inyección de código en las acciones automatizadas. Una vez ejecutado el workflow, el malware se despliega en el runner (máquina virtual que ejecuta el workflow), donde procede a:
– Exfiltrar variables de entorno y secretos del repositorio.
– Interceptar y enviar tokens de acceso a infraestructura cloud (AWS, Azure, GCP).
– Instalar payloads adicionales para persistencia.
##### 3.3. TTPs (MITRE ATT&CK)
– **Initial Access:** Spear phishing via pull requests (T1192)
– **Execution:** User execution on CI/CD runner (T1204.002)
– **Credential Access:** Credentials from password stores/environment variables (T1555/T1552)
– **Exfiltration:** Exfiltration Over Command and Control Channel (T1041)
##### 3.4. IoCs (Indicadores de Compromiso)
– URLs sospechosas en los scripts de los workflows.
– Logs con conexiones salientes HTTP/HTTPS hacia dominios no autorizados.
– Presencia de scripts ofuscados en pasos intermedios del workflow.
##### 3.5. Herramientas y Frameworks Usados
Se ha detectado la utilización de scripts personalizados, así como la posible integración de módulos de Metasploit y Cobalt Strike para exfiltración y persistencia.
#### 4. Impacto y Riesgos
El compromiso de estos workflows implica riesgos significativos:
– **Robo de credenciales:** Los secretos almacenados en los repositorios y runners comprometidos pueden ser utilizados para acceder a otros sistemas o recursos cloud.
– **Movimiento lateral:** Permite a los atacantes pivotar hacia otros servicios internos de la organización.
– **Ataques a la cadena de suministro:** Los artefactos generados pueden estar manipulados, afectando a todos los usuarios que dependan de ellos.
– **Repercusión reputacional y legal:** Las organizaciones afectadas podrían enfrentarse a multas según GDPR y NIS2, además de sufrir pérdida de confianza por parte de clientes y partners.
Según estimaciones recientes, más del 30% de los incidentes de seguridad en entornos cloud durante 2024 han tenido su origen en pipelines de CI/CD comprometidos.
#### 5. Medidas de Mitigación y Recomendaciones
– **Revisión inmediata de los workflows:** Analizar los scripts en busca de modificaciones no autorizadas.
– **Rotación de credenciales y tokens:** Invalide y regenere todos los secretos alojados en los repositorios afectados.
– **Implementación de políticas de seguridad en GitHub Actions:** Limitar la ejecución de workflows a colaboradores de confianza.
– **Auditoría y monitorización de logs:** Establezca alertas para conexiones anómalas y comportamientos atípicos en los runners.
– **Aplicar principios de mínimo privilegio:** Restrinja el acceso de los workflows a sólo los recursos imprescindibles.
– **Actualización y validación de dependencias:** Utilice herramientas como Dependabot para garantizar la integridad del software de terceros.
#### 6. Opinión de Expertos
Expertos en ciberseguridad, como los analistas de SANS y miembros de la Cloud Security Alliance, subrayan que “el uso indiscriminado de workflows automatizados sin una gestión adecuada de permisos y revisiones de código representa actualmente uno de los vectores más críticos de ataque en la cadena de suministro software”. Recomiendan adoptar políticas Zero Trust y reforzar la formación en seguridad para equipos DevOps.
#### 7. Implicaciones para Empresas y Usuarios
Este incidente resalta la importancia de adoptar un enfoque proactivo en la protección de pipelines CI/CD. Las empresas deben considerar el endurecimiento de sus procesos de revisión de código y la segregación de funciones dentro de los equipos de desarrollo y operaciones. Para los usuarios de los workflows comprometidos, es fundamental actualizar a versiones corregidas y revisar cualquier artefacto generado durante el periodo afectado.
#### 8. Conclusiones
El ataque a los workflows de Checkmarx demuestra que la automatización, sin controles de seguridad adecuados, puede convertirse en el talón de Aquiles de la cadena de suministro digital. La colaboración entre equipos de desarrollo y seguridad, junto con la aplicación rigurosa de mejores prácticas, es esencial para mitigar estos riesgos en un entorno donde la amenaza es cada vez más sofisticada y persistente.
(Fuente: feeds.feedburner.com)