Los investigadores de ciberseguridad han advertido sobre el envío de imágenes maliciosas al repositorio oficial de Docker Hub «checkmarx/kics».
Socket, una empresa de seguridad de la cadena de suministro de software, reveló en una alerta publicada hoy que un atacante desconocido pudo sobrescribir con éxito etiquetas existentes, incluidas v2.1.20 y alpine, al mismo tiempo que introdujo una nueva etiqueta v2.1.21 que no corresponde a una versión pública. El repositorio de Docker está archivado en el momento de escribir este artículo.
«El análisis de las imágenes contaminadas mostró que los binarios KICS incluidos se habían modificado para incluir una funcionalidad de recopilación y extracción de datos que no estaba presente en la versión canónica», dijo Socket.
«Este malware puede generar informes de escaneo sin censura y enviarlos cifrados a puntos finales externos, lo que potencialmente representa un riesgo grave para los equipos que usan KICS para escanear archivos de infraestructura como código que puede contener credenciales y otros datos de configuración confidenciales».
Un análisis más detallado de este incidente reveló que las herramientas de desarrollo de Checkmarx relacionadas también pueden haberse visto afectadas, incluida una versión reciente de la extensión Microsoft Visual Studio Code que venía con código malicioso que descargaba y ejecutaba complementos remotos a través del tiempo de ejecución de Bun.
«Este comportamiento ocurrió en las versiones 1.17.0 y 1.19.0 y se eliminó en 1.18.0. Se basaba en URL de GitHub codificadas para recuperar y ejecutar JavaScript adicional sin verificación del usuario o validación de integridad», agregó Socket.
Las organizaciones que puedan haber escaneado sus configuraciones de Terraform, CloudFormation o Kubernetes utilizando imágenes KICS afectadas deben tratar cualquier secreto o credencial expuesta en esos escaneos como potencialmente comprometidos.
«La evidencia sugiere que este no es un incidente aislado de Docker Hub, sino parte de una violación más amplia de la cadena de suministro que afecta a múltiples canales de distribución de Checkmarx», señaló la compañía.
Hacker News se ha puesto en contacto con Checkmarx para obtener más información. Actualizaré el artículo si recibo una respuesta.
(Esta es una historia en desarrollo. Vuelva a consultarla para obtener más detalles).
Source link
