Un nuevo ataque de suministro ha afectado a Microsoft, comprometiendo 73 paquetes de código abierto que contenían un código malicioso diseñado para robar credenciales. Este incidente se produjo cuando los desarrolladores abrieron estos paquetes en agentes de codificación de inteligencia artificial. GitHub, propiedad de Microsoft, bloqueó los paquetes, pero no advirtió a los desarrolladores sobre la posible infección, alegando una violación de sus términos de servicio.
La compañía solo reconoció el problema días después, indicando que había eliminado temporalmente algunos repositorios mientras investigaba el contenido malicioso. Este es el segundo ataque de suministro en menos de dos meses, ya que en mayo se documentó la infección del SDK durabletask de Microsoft en PyPI, que recibe 400,000 descargas mensuales.
El malware, conocido como Miasma, roba credenciales de plataformas como AWS, Azure y GCP, así como de gestores de contraseñas y configuraciones de más de 90 herramientas de desarrollo. Este ataque se ha vinculado a un grupo de amenazas conocido como TeamPCP, que logró comprometer las credenciales de Microsoft para publicar el paquete, eludiendo así el proceso de construcción del repositorio.
Cloudsmith, una firma de seguridad, explicó que Miasma aprovecha el modelo de confianza del ecosistema de ingeniería moderno, generando un payload encriptado de manera única para cada infección. Esto dificulta la detección del malware, ya que la firma del archivo cambia con cada versión del paquete.
Andrew McNamara de Red Hat destacó que el Miasma ha evolucionado para enfocarse en la recolección de datos de identidades en la nube, lo que representa un riesgo significativo para los desarrolladores que dependen de estos entornos. Las empresas deben revisar sus sistemas y asumir que cualquier interacción con estos paquetes podría haber comprometido sus credenciales y, por ende, su seguridad operativa.
Comentarios