GitHub anunció el martes que está investigando el acceso no autorizado a sus repositorios internos después de que un notorio actor de amenazas conocido como TeamPCP pusiera a la venta el código fuente de la plataforma y la organización interna en un foro de cibercrimen.
«En este momento, no hay evidencia de ningún impacto en la información de los clientes almacenada fuera de los repositorios internos de GitHub (como empresas, organizaciones y repositorios de clientes), pero estamos monitoreando de cerca nuestra infraestructura para cualquier actividad posterior», dijo la subsidiaria propiedad de Microsoft.
La compañía también dijo que notificará a los clientes a través de canales de notificación y respuesta a incidentes establecidos si se descubre algún impacto.
El desarrollo se produce después de que TeamPCP, el actor de amenazas detrás de una serie de ataques a la cadena de suministro de software dirigidos a paquetes de código abierto, pusiera a la venta el código fuente de GitHub por un precio inicial de más de 50.000 dólares. Se dice que el supuesto volcado de datos incluye alrededor de 4.000 repositorios.
«Como siempre, esto no es un rescate», dijo el grupo en una publicación, según una captura de pantalla compartida por Dark Web Informer. «No tenemos ningún interés en extorsionar a GitHub y a un solo comprador. Destruimos los datos por nuestra parte. Parece que nos acercamos a la jubilación, por lo que si no podemos encontrar un comprador, lo filtraremos de forma gratuita».
TeamPCP compromete el paquete PyPI durabletask
La noticia de la venta llega mientras la campaña de malware autorreplicante de TeamPCP, conocida como Mini Shai-Hulud, continúa expandiendo su alcance al comprometer durabletask, el cliente oficial de Microsoft Python para el marco de ejecución de flujo de trabajo Durable Task. Se han identificado tres versiones de paquetes maliciosos: 1.4.1, 1.4.2 y 1.4.3.
«Los atacantes comprometieron las cuentas de GitHub a través de un ataque anterior, arrojaron secretos de GitHub de los repositorios a los que accedían los usuarios y accedieron y expusieron directamente tokens PyPi desde allí», dijo Wiz, propiedad de Google.
La carga útil incorporada en el paquete es un cuentagotas que está configurado para recuperar y ejecutar la carga útil de la segunda etapa (‘rope.pyz’) desde un servidor externo (‘check.git-service(.)com’). Se considera que este malware es una evolución de la carga útil implementada en relación con la violación del paquete guardrails-ai la semana pasada.
Específicamente, está diseñado para recopilar credenciales asociadas con los principales proveedores de nube, administradores de contraseñas y herramientas de desarrollo, y activar un ladrón de información con todas las funciones que puede filtrar datos a dominios controlados por atacantes. Tenga en cuenta que Stealer está configurado para ejecutarse únicamente en sistemas Linux.
Según SafeDep, el ladrón de Python de 28 KB también intenta leer los secretos de HashiCorp Vault KV, desbloquear y volcar las bóvedas de contraseñas de 1Password y Bitwarden, y acceder a claves SSH, credenciales de Docker, configuración de VPN e historial de shell.
«Si la máquina se ejecuta dentro de AWS, utiliza SSM para propagarse a otras instancias EC2. Si está en Kubernetes, se propaga a través de kubectl exec», dijo Aikido Security. «Y si detecta una configuración de sistema israelí o iraní, hay una probabilidad de 1 entre 6 de reproducir audio y luego ejecutar rm -rf /*».
Según StepSecurity, «Después de enumerar las instancias administradas por SSM, utilizamos SendCommand y el documento AWS-RunShellScript para ejecutar la carga útil rope.pyz en hasta otras cinco instancias EC2 por perfil». «El script de propagación descarga la carga útil del C2 principal, recurre al dominio secundario tm-kosche(.)com y lo ejecuta en segundo plano».
También vale la pena señalar que el mecanismo FIRESCALE se utiliza para identificar una dirección de comando y control (C2) de respaldo si el dominio principal es inaccesible. Esto se hace buscando el patrón «FIRESCALE» en los mensajes de confirmación públicos de GitHub. Luego extraiga la información C2 de allí. Los detalles de esta técnica fueron cubiertos previamente por Hunt.io.
Se espera que el número de paquetes afectados aumente a medida que el gusano se propague utilizando tokens robados de entornos infectados. Cualquier máquina o canalización que tenga instalada la versión afectada del paquete debe tratarse como totalmente comprometida.
«El paquete se descarga aproximadamente 417.000 veces al mes y el código malicioso se ejecuta automáticamente en el momento en que se importa el paquete, sin ningún mensaje de error ni signos visibles de compromiso», dijo Peyton Kennedy, investigador de Endor Labs.
Source link
