CLI de Bitwarden comprometida en la campaña de la cadena de suministro de Checkmarx

Bitwarden CLI se ha visto comprometida como parte de la campaña de cadena de suministro Checkmarx recientemente descubierta y en curso, según nuevos hallazgos de JFrog y Socket.

Cuando se le contactó para hacer comentarios, Bitwarden confirmó el incidente, pero enfatizó que no se accedió a datos del usuario final como parte del ataque.

"La versión del paquete afectado parece ser @bitwarden/[email protected], y el código malicioso fue publicado en 'bw1.js', un archivo incluido en el contenido del paquete", dijo la compañía de seguridad de aplicaciones. "El ataque parece haber aprovechado una GitHub Action comprometida en el proceso de CI/CD de Bitwarden, consistente con el patrón observado en otros repositorios afectados en esta campaña".

En una publicación en X, JFrog dijo que la versión fraudulenta del paquete "roba tokens de GitHub/npm, .ssh, .env, historial de shell, acciones de GitHub y secretos de la nube, luego filtra los datos a dominios privados y a medida que GitHub se compromete".

Si bien la versión maliciosa ya no está disponible para descargar desde npm, Socket dijo que el compromiso sigue el mismo vector de cadena de suministro de GitHub Actions identificado en la campaña Checkmarx.

Como parte del esfuerzo, se descubrió que los actores de amenazas abusan de tokens de GitHub robados para inyectar un nuevo flujo de trabajo de GitHub Actions que captura secretos disponibles para la ejecución del flujo de trabajo y utiliza credenciales NPM recopiladas para enviar versiones maliciosas del paquete para leer el malware a los usuarios posteriores.

Según el investigador de seguridad Adnan Khan, se dice que el actor de amenazas utilizó un flujo de trabajo malicioso para publicar la CLI de bitwarden maliciosa. "Creo que esta es la primera vez que un paquete que utiliza la publicación confiable de NPM se ve comprometido", agregó Khan.

Se sospecha que el actor de amenazas conocido como TeamPCP está detrás del último ataque dirigido a Checkmarx. Al momento de escribir este artículo, la cuenta X de TeamPCP ha sido suspendida por violar las reglas de la plataforma.

OX Security, en un desglose del ataque, dijo que identificó la cadena "Shai-Hulud: The Third Coming" en el paquete, lo que sugiere que esta es probablemente la siguiente fase de la campaña de ataque a la cadena de suministro que salió a la luz el año pasado.

"El último incidente de Shai Hulud es sólo el último de una larga cadena de amenazas dirigidas a desarrolladores de todo el mundo. Los datos de los usuarios se están filtrando públicamente a GitHub, a menudo pasando desapercibidos porque las herramientas de seguridad normalmente no señalan los datos que se envían allí", dijo Moshe Siman Tov Bustan, líder del equipo de investigación de seguridad de OX Security. "Esto hace que el riesgo sea significativamente más peligroso: cualquiera que busque en GitHub puede potencialmente encontrar y acceder a esas credenciales. En ese punto, los datos confidenciales ya no están en manos de un solo actor de amenazas, sino que están expuestos a cualquiera".

La investigación de Bitwarden no encontró evidencia de que se hubiera accedido a los datos de la bóveda del usuario final o que estuvieran en riesgo, o que los datos o sistemas de producción estuvieran comprometidos. Una vez que se detectó el problema, se revocó el acceso comprometido, la versión maliciosa de npm quedó obsoleta y se iniciaron medidas de reparación de inmediato.

El problema afectó el mecanismo de distribución de NPM para la CLI durante esa ventana limitada, no la integridad del código base legítimo de la CLI de Bitwarden ni los datos almacenados de la bóveda.

Los usuarios que no descargaron el paquete de NPM durante esa ventana no se vieron afectados.

Fuente: THN

Suscríbete a nuestro Boletín