GitHub como vector de ataque a la cadena de suministro

GitHub es una plataforma invaluable utilizada por los desarrolladores de aplicaciones para gestionar flujos de trabajo, mantener el control de versiones, almacenar y compartir código, colaborar en proyectos, y más. Pero los recientes ataques utilizando acciones y artefactos de GitHub comprometidos son un recordatorio aleccionador de la importancia de practicar las mejores prácticas de seguridad de la cadena de suministro mientras se utiliza cualquier código de terceros.

Un vector irresistible

Por su propia naturaleza, GitHub es muy atractivo para los ciberdelincuentes como vector para ataques a la cadena de suministro de software. Si los atacantes logran penetrar la seguridad de GitHub y comprometer un fragmento de código—un bloque de construcción compartido—que es comúnmente utilizado por un gran número de desarrolladores, pueden encontrarse con acceso de puerta trasera a cientos o miles de redes con datos valiosos para extraer.

La acción comprometida afecta a 23,000

Hoy, mientras escribo, el 19 de marzo de 2025, se descubrió un ataque importante. Según se informó en una alerta publicada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA):

Una popular acción de GitHub de terceros, tj-actions/changed-files (rastreados como CVE-2025-30066), fue comprometida. Esta acción de GitHub está diseñada para detectar qué archivos han cambiado en una solicitud de extracción o compromiso. El compromiso de la cadena de suministro permite la divulgación de información secreta, incluyendo, pero no limitado a, claves de acceso válidas, Tokens de Acceso Personal de GitHub (PATs), tokens de npm y claves RSA privadas. Esto ha sido corregido en la versión v46.0.1.

La acción de GitHub comprometida estaba activa en unos 23,000 repositorios diferentes de GitHub, lo que significa que, mientras estuvo activa, podría haber expuesto secretos a la vista pública en una escala vasta.

Una característica inesperada del ataque es que la carga maliciosa no exfiltra los datos robados a un servidor externo. En cambio, simplemente los vuelca al repositorio, donde cualquiera con acceso puede verlos.

Principales empresas afectadas por la corrupción de artefactos

En agosto de 2024, los investigadores descubrieron un ataque en el que se “envenenaron” artefactos de código abierto, afectando a proyectos de propiedad de Google, Microsoft, Amazon Web Services y muchos más. Al comprometer la cadena de integración continua/despliegue continuo, podría permitir fácilmente a los atacantes insertar código malicioso en producción o acceder a secretos en el repositorio de GitHub o en otras partes de la red.

Afortunadamente, los casos identificados se mitigaron rápidamente, y no parecía que hubiera tenido lugar ninguna actividad maliciosa adicional.

Este artículo de Dark Reading de Elizabeth Montalbano ofrece una explicación técnica detallada del ataque.

Comprometido Colorama comete robo de datos

En abril de 2024, Matthew Russo informó en este blog sobre otro ataque a la cadena de suministro que explotó GitHub. Usando una combinación de cookies de navegador robadas, tipografía engañosa y más, los delincuentes pudieron desplegar una copia alterada de Colorama, un paquete de terceros utilizado por millones de desarrolladores.

Recursos maliciosos pudieron robar datos de múltiples navegadores.

La información incluye información de autocompletado, cookies, tarjetas de crédito, credenciales de inicio de sesión e historial de navegación. Esto también puede involucrarse en Discord, buscando tokens que pueda descifrar para acceder a la cuenta de la víctima y robar monederos de criptomonedas, obtener datos de Telegram y exfiltrar archivos del ordenador. También busca robar información sensible de archivos de Instagram utilizando un token de sesión y puede registrar las pulsaciones de teclas de las víctimas, exponiendo información como contraseñas, mensajes personales y detalles financieros.

Seguridad de la cadena de suministro

GitHub en sí ofrece un sólido conjunto de recursos de seguridad.

Este artículo proporciona orientación específica sobre las mejores prácticas de seguridad, incluyendo el uso de acciones de terceros y flujos de trabajo de forma segura. Estas incluyen fijar las acciones a un SHA de confirmación completo, auditar el código fuente de la acción y más.

Puedes encontrar la lista completa de guías de seguridad de GitHub aquí.

Buenas reglas generales para la seguridad de la cadena de suministro de software incluyen:

• Verifique las dependencias y los recursos antes de interactuar con ellos

• Supervise la actividad de red sospechosa

• Mantener una postura de seguridad adecuada

Una plataforma sólida de protección de aplicaciones web y API (WAAP) como Barracuda Application Protection puede ayudar detectando y remediando vulnerabilidades durante y después del desarrollo y utilizando Active Threat Intelligence para responder rápidamente a nuevas vulnerabilidades y exploits.