Un ataque sofisticado ha golpeado el mundo del desarrollo, con el gusano Miasma logrando infiltrarse en 73 repositorios públicos de Microsoft en GitHub. A diferencia de otros ciberataques que buscan vulnerabilidades en plataformas, Miasma explotó credenciales reales y archivos de configuración maliciosos, diseñados para ejecutarse al abrir proyectos en entornos de desarrollo como VS Code y asistentes de IA.
El incidente, que afectó a organizaciones como Azure, Azure Samples, Microsoft y MicrosoftDocs, tuvo un impacto directo en flujos de trabajo críticos, como la desactivación de Azure/functions-action, una herramienta oficial de GitHub para desplegar Azure Functions . El punto de entrada se rastreó hasta un commit malicioso en Azure/durabletask, introducido a través de una cuenta de colaborador comprometida, evidenciando un enfoque en la cadena de suministro y la confianza en las credenciales válidas.
El mecanismo de ejecución se centró en archivos de configuración (.github/setup.js, por ejemplo) que se activaban al abrir el repositorio en herramientas como VS Code, Claude Code, Gemini CLI y Cursor. Estos archivos, ofuscados y de gran tamaño, contenían código JavaScript diseñado para el robo de credenciales. Este ataque también se vinculó a la recompromisión del paquete durabletask en PyPI, utilizado previamente para distribuir malware en Linux, lo que subraya la persistencia de la campaña.
Para mitigar los riesgos, se recomienda a los equipos de seguridad y desarrollo considerar cualquier entorno que haya abierto repositorios afectados como potencialmente comprometido. Es crucial rotar inmediatamente credenciales como tokens de GitHub, credenciales de Azure, AWS y GCP, claves SSH, secretos de Kubernetes, tokens de npm y cualquier secreto almacenado en archivos de configuración. Además, se aconseja auditar repositorios propios en busca de artefactos sospechosos y fijar GitHub Actions a SHA de commit en lugar de etiquetas mutables. También se sugiere considerar alternativas a Azure/functions-action@v1 si se utiliza esta acción. La seguridad de la cadena de suministro exige prácticas robustas como protecciones de rama, revisiones obligatorias y controles de tráfico de red.
Artículos relacionados de LaRebelión:
- Solara de Microsoft IA en Dispositivos No Apps
- Microsoft Unveils RTX Spark Desktop and Linux Tools
- Ataque Miasma Compromete Paquetes npm de Red Hat
- Microsoft Amenaza a Investigador de Ciberseguridad
- Microsoft Threatens Legal Action Against Security Researcher
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario