Múltiples organizaciones y millones de desarrolladores 1 de enero de 2024

Ataque a la cadena de suministro de software a través de dependencias comprometidas, mitigado accidentalmente por un gusano de criptominería

4380

minutos

4.0M

usuarios afectados

supply-chain-attack

causa raíz

Timeline del incidente

Día 1, 03:14 UTC · Marcus Chen

Marcus Chen, mantenedor de 'left-justify', reporta robo de credenciales y un dispositivo de 2FA.

Día 1, 09:22 UTC · Marcus Chen

Chen intenta iniciar sesión en el registro nmp; su clave 2FA falta. Busca reemplazo y es dirigido a un sitio de phishing por Google AI Overview.

Día 1, 09:31 UTC · Marcus Chen

Chen introduce sus credenciales de nmp en el sitio de phishing.

Día 1, 11:00 UTC · Atacante

Se publica 'left-justify@1.0.1', incluyendo un script post-instalación malicioso que exfiltra credenciales.

Día 1, 13:15 UTC · Usuario afectado

Se abre un ticket de soporte sobre la exfiltración de '.npmrc' por 'left-justify', marcado como 'baja prioridad' y auto-cerrado.

Día 1, 14:47 UTC · Atacante

Entre las credenciales exfiltradas, se encuentran las del mantenedor de 'vulpine-lz4', una librería Rust.

Día 1, 22:00 UTC · Atacante

Se publica 'vulpine-lz4' versión 0.4.1 con un script 'build.rs' malicioso que descarga y ejecuta un shell script en entornos de CI.

Día 2, 08:15 UTC · Karen Oyelaran

Karen Oyelaran, investigadora de seguridad, detecta el commit malicioso cuando su laptop personal activa el payload.

Día 2, 12:33 UTC · Atacante

El shell script malicioso apunta a la pipeline de CI de 'snekpack', una herramienta de construcción de Python que usa 'vulpine-lz4'.

Día 2, 18:00 UTC · Atacante (vía snekpack)

Se lanza 'snekpack' versión 3.7.0, distribuyendo el malware a máquinas de desarrolladores globalmente.

Día 3, 01:17 UTC · Desarrolladora junior

Una desarrolladora junior en Auckland nota el código malicioso y abre un PR para revertir 'vulpine-lz4' en 'snekpack'.

Día 3, 06:12 UTC · Gusano 'cryptobro-9000'

Un gusano de criptominería no relacionado, 'cryptobro-9000', comienza a propagarse y ejecuta 'npm update' y 'pip install --upgrade'.

Día 3, 06:14 UTC · Gusano 'cryptobro-9000'

'cryptobro-9000' actualiza accidentalmente 'snekpack' a la versión 3.7.1, una versión legítima que revierte la dependencia maliciosa.

Día 3, 06:15 UTC · Malware

El reverse shell del malware se activa (es martes), pero el servidor C2 está comprometido por 'cryptobro-9000' e inoperable.

Día 3, 09:00 UTC · Mantenedores de snekpack

Los mantenedores de 'snekpack' emiten un aviso de seguridad.

Día 3, 14:00 UTC · Equipo de seguridad

Las credenciales comprometidas de 'vulpine-lz4' son rotadas.

Día 3, 15:22 UTC · Equipo de seguridad

Incidente declarado resuelto.

Semana 6 · MITRE y GitHub Security Advisories

CVE-2024-YIKES es formalmente asignado y publicado.

Análisis técnico

Este incidente representa una falla en múltiples capas de seguridad y procesos, culminando en un ataque a la cadena de suministro de software de gran escala. La causa raíz inicial fue el compromiso de las credenciales de un mantenedor de una dependencia crítica ('left-justify') a través de phishing, facilitado por la falta de 2FA obligatoria y una recomendación errónea de Google AI Overview. Esto permitió al atacante inyectar código malicioso en 'left-justify', que luego exfiltró más credenciales.

La cascada de fallos continuó con el uso de estas nuevas credenciales para comprometer 'vulpine-lz4', una librería Rust transitivamente crítica. El malware en 'vulpine-lz4' estaba diseñado para activarse en entornos de CI/CD, lo que llevó a la infección de 'snekpack', una herramienta de construcción de Python ampliamente utilizada. La filosofía de 'small crates' en Rust y la práctica de 'vendoring' librerías en Python contribuyeron a la propagación del malware, ya que una dependencia aparentemente insignificante se convirtió en un vector de ataque para millones de desarrolladores.

Las salvaguardas fallaron en múltiples puntos: la autenticación de un solo factor para paquetes populares, la ineficacia de los sistemas de alerta temprana (tickets de soporte ignorados, issues de GitHub sin respuesta), la falta de auditorías de dependencias profundas, y la aprobación de PRs maliciosos por sistemas automatizados (Dependabot) que no detectaron el malware. Irónicamente, la resolución del incidente no provino de las acciones de los equipos de seguridad o desarrollo, sino de la intervención accidental de un gusano de criptominería ('cryptobro-9000') que, al actualizar dependencias, revirtió la versión maliciosa de 'snekpack' y comprometió el servidor de C2 del atacante, neutralizando así la amenaza.

Remediaciones y action items

✓ Implementar la firma de artefactos (acción pendiente desde Q3 2022).
✓ Hacer obligatoria la autenticación de dos factores (2FA) para todos los mantenedores de paquetes, independientemente del volumen de descargas.
✓ Auditar exhaustivamente las dependencias transitivas de todos los proyectos críticos.
✓ Revisar las políticas de 'vendoring' de librerías y establecer procesos para su actualización y escaneo de seguridad.
✓ Mejorar los procesos de respuesta a incidentes y la comunicación interna para asegurar que los reportes de seguridad sean priorizados y escalados adecuadamente.
✓ Evaluar la confianza en las recomendaciones de IA para búsquedas críticas de seguridad.

Lecciones para arquitectos

→ La seguridad de la cadena de suministro es tan fuerte como su eslabón más débil, incluso en dependencias transitivas profundas.
→ La 2FA debe ser obligatoria y robusta para todos los mantenedores de paquetes críticos.
→ Las auditorías de dependencias no deben limitarse a las de primer nivel; las dependencias transitivas son vectores de ataque comunes.
→ Los sistemas de CI/CD son objetivos de alto valor y deben ser tratados con la máxima seguridad, incluyendo escaneo de código y análisis de comportamiento.
→ El 'vendoring' de librerías puede introducir riesgos de seguridad si no se gestiona activamente con actualizaciones y parches.
→ La resiliencia de un sistema puede depender de factores externos impredecibles, incluso de otros actores maliciosos.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp