Cryptonews

El ciberataque al ecosistema de software expone vulnerabilidades en más de 170 repositorios de código vinculados a las principales empresas tecnológicas

Source
CryptoNewsTrend
Published
El ciberataque al ecosistema de software expone vulnerabilidades en más de 170 repositorios de código vinculados a las principales empresas tecnológicas

El 11 de mayo, un grupo llamado TeamPCP lanzó un ataque a la cadena de suministro de software a gran escala, conocido como "Mini Shai-Hulud", que comprometió más de 170 paquetes en los repositorios npm y PyPI. Los objetivos notables incluyeron TanStack, Mistral AI, UiPath y Guardrails AI, todos los cuales son jugadores destacados en el ecosistema de herramientas para desarrolladores.

Durante un período de cinco horas, los atacantes publicaron con éxito entre 373 y 404 versiones contaminadas de paquetes, disfrazándolas hábilmente de actualizaciones legítimas. Esto se logró explotando las debilidades en los flujos de trabajo de GitHub Actions, particularmente un flujo de trabajo pull_request_target mal configurado, junto con tácticas de envenenamiento de caché. Los atacantes también aprovecharon los tokens OpenID Connect para autenticar canales de publicación entre GitHub y registros de paquetes como npm.

La carga útil maliciosa, un sofisticado gusano de robo de credenciales de varias etapas, fue diseñada para extraer credenciales de entornos de nube y herramientas de desarrollo, infiltrarse en administradores de contraseñas y luego propagarse a través de cadenas de dependencia para comprometer proyectos adicionales. Esto representa una amenaza significativa tanto para los entornos web tradicionales como para Web3, ya que las herramientas comprometidas no solo se utilizan ampliamente sino que también son parte integral de la infraestructura de activos digitales.

Las implicaciones del ataque para los espacios criptográfico y Web3 son particularmente alarmantes, dado que las herramientas objetivo se usan comúnmente en ambos ecosistemas. Una credencial de desarrollador comprometida puede otorgar acceso no autorizado a áreas sensibles, incluidas las canalizaciones de implementación de contratos inteligentes, la infraestructura de billetera y los sistemas backend de intercambio. TanStack, por ejemplo, es una colección popular de herramientas para crear aplicaciones web, mientras que Mistral AI proporciona herramientas de desarrollo esenciales para la integración de AI y UiPath es una importante plataforma de automatización.

En respuesta al ataque, los expertos en seguridad están aconsejando a los equipos que puedan haber descargado actualizaciones de los paquetes afectados durante el período de cinco horas que tomen medidas inmediatas. Esto incluye desinfectar los entornos de desarrollo, rotar secretos y credenciales y examinar los árboles de dependencia en busca de versiones de paquetes comprometidas. En particular, se advierte a los equipos de criptografía que traten sus cadenas de dependencia con el mismo nivel de rigor que las auditorías de contratos inteligentes, fijando versiones exactas de los paquetes, verificando la integridad del paquete e implementando un escaneo en tiempo de compilación para detectar comportamientos de dependencia inusuales.