Detectan paquete de código abierto con un millón de descargas que robaba credenciales
Un paquete de código abierto popular que se ha descargado más de un millón de veces al mes ha terminado en un vector de ataque contra la cadena de suministro, luego de que un actor de amenazas aprovechara una falla en los flujos internos de sus desarrolladores.
Este error ha permitido acceder a claves de firma, tokens y otros datos sensibles que, en manos equivocadas, ha bastado para para publicar una versión hackeada del software sin levantar sospechas. El paquete afectado es elementary-data, una herramienta de línea de comandos utilizada para observar el rendimiento y detectar anomalías en sistemas de aprendizaje automático (machine learning).
Hace unos días, los ciberdelincuentes, que no han sido identificados, han conseguido distribuir la versión 0.23.3, el cual parecía una actualización legítima. Sin embargo, incluía código diseñado para rastrear el entorno donde se ejecutaba y extraer información crítica.
Entre los datos buscados se encontraban perfiles de usuario, credenciales de almacenes de datos, claves de proveedores en la nube, tokens de API, claves SSH y otros datos confidenciales que suelen quedar disponibles en estaciones de trabajo, servidores o entornos automatizados.
La versión maliciosa ha sido publicada tanto en Python Package Index como en las imágenes de Docker asociadas al proyecto y ha permanecido activa durante unas 12 horas antes de ser retirada hace pocos días. Los desarrolladores han aclarado que Elementary Cloud, el paquete elementary para dbt y las demás versiones de la herramienta de línea de comandos no se vieron afectadas.
No obstante, el aviso ha sido claro: cualquier usuario que haya instalado la versión 0.23.3 o ha ejecutado la imagen Docker comprometida debe partir de una premisa incómoda, pero necesaria; toda información sensible o confidencial desde ese entorno pudo haber quedado expuesta.
La ciberseguridad es un pilar fundamental en las empresas exitosas, debido a que pueden protegerse del espionaje industrial y de ataques de todo tipo. Por ello, TIC Defense provee un conjunto de herramientas y soluciones de alta tecnología y se adaptan a las necesidades de las organizaciones.
El origen del ataque informático estuvo en una acción de GitHub ha sido creada por los propios responsables del proyecto. Además, los atacantes enviaron una solicitud de extracción con código manipulado y lograron que se ejecutara un script Bash dentro del contexto de la cuenta de los desarrolladores.
Igualmente, dicho script ha recopilado información sensible, incluidos tokens y claves de firma. Con ese acceso, los atacantes han podido publicar una versión falsa de elementary-data que imitaba con precisión suficiente a una versión legítima como para poder circular entre usuarios desprevenidos.
El equipo del proyecto se ha enterado del incidente por medio de reportes de terceros. A partir de aquí, se ha actuado con rapidez; han retirado el paquete comprometido en un plazo aproximado de tres horas, se han rotado las credenciales a las que el código malicioso pudo haber tenido acceso, se ha corregido la vulnerabilidad y se ha revisado el resto de sus acciones de GitHub para descartar fallos similares.
La respuesta ha sido rápida, pero el daño potencial ya estaba sobre la mesa y esparciéndose. Sobre todo, para quienes ejecutaron la versión afectada en entornos con información confidencial y secretos cargados. Ahora, los usuarios deben verificar de forma inmediata si tienen instalada la versión 0.23.3 por medio de diversos comandos, como el pip show elementary-data | grep Version.
