Malware oculto en las herramientas para desarrolladores

3 señales de fraudes comunes

Una amenaza insidiosa: malware oculto en las herramientas para desarrolladores

Es un refrán familiar: los ciberataques modernos son más sofisticados que nunca. Sin embargo, rara vez un ataque ha sido tan adecuado comoBlazeStealer, una serie de paquetes maliciosos de Python que se presentan como herramientas de ofuscación de código benignas, una práctica recomendada estándar para las organizaciones encargadas de proteger la privacidad de los datos con los que trabajan sus desarrolladores.

Si bien el uso de herramientas de protección de datos debería disuadir al atacante, a veces tiene el efecto contrario. Debido a que los datos protegidos por la ofuscación de código suelen ser muy valiosos, los atacantes están más motivados para encontrar formas de infiltrarse en estas herramientas, incluso creando versiones maliciosas y comercializándolas entre usuarios desprevenidos.

En un caso reciente, la descarga de estos paquetes de ofuscación de código aparentemente inofensivos activó automáticamente malware que permitió a los atacantes hacerse con el control total de los dispositivos de sus objetivos, robar contraseñas y encriptar y descargar datos confidenciales. Cuando se detectó y eliminó BlazeStealer, ya se habían realizado casi 2500 descargas en Norteamérica, Asia y Europa, lo que expuso la información protegida de miles de organizaciones en el proceso.

Si bien el malware BlazeStealer ya no representa una amenaza, miles de otras herramientas para desarrolladores han sido objeto de ataques similares, ya que los ciberdelincuentes usan los repositorios de código abierto, se aprovechan de la confianza de los desarrolladores y se infiltran en organizaciones confiadas. Sigue leyendo para descubrir por qué los atacantes utilizan el desarrollo de aplicaciones como punto de acceso y cómo identificar la actividad maliciosa en las herramientas que utilizan tus ingenieros.

Cómo los ciberdelincuentes atacan las herramientas de los desarrolladores (y por qué es poco probable que se detengan)

Los desarrolladores tienen una posición única dentro de una organización. Su acceso a la infraestructura de desarrollo y a los sistemas internos los convierte en un objetivo muy valioso para los atacantes, que pueden vulnerar ese acceso mediante el uso de malware y otras estrategias sofisticadas, exponiendo los datos, las operaciones y los ingresos de tu organización. Presta atención a estos ataques recientes:

• GitHub, una popular plataforma para desarrolladores, se vio inundada con millones de repositorios de código infectado con el objetivo de vulnerar los dispositivos de los desarrolladores, obtener las credenciales de los usuarios y robar criptomonedas.

• El grupo de hackers norcoreanos Lazarus, a quienes se les atribuyó el ataque, intentaron aprovechar los errores tipográficos de los usuarios para confundir a los desarrolladores y conseguir que descargaran miles de paquetes maliciosos de Python.

• Ataques similares ocultaron malware en archivos de prueba, que pueden haberse originado a partir de pruebas de codificación realizadas a autónomos o solicitantes de empleo.

La identificación y mitigación del malware suele ser difícil a escala, ya que el atacante puede duplicar y cargar paquetes maliciosos más rápido de lo que las plataformas de desarrollo y los proveedores de la cadena de suministro de software pueden eliminar. Y algunos desarrolladores pueden no examinar adecuadamente el software de terceros; en un estudio, los usuarios obtuvieron paquetes de JavaScript obsoletos (es decir, paquetes con vulnerabilidades conocidas) a un ritmo de 2100 millones de descargas por semana.

El efecto dominó de estos ataques, ya sea como resultado de software malicioso oculto en repositorios de código abierto, estafas o simple negligencia, puede ir mucho más allá de su impacto inicial en la aplicación y el desarrollo web. Cuando se implementa con éxito, el malware se puede propagar rápidamente dentro de la infraestructura y los sistemas de una organización, robar sus datos internos, poner en riesgo la información protegida de los clientes, afectar las operaciones comerciales (o incluso los productos que vendes), disminuir los ingresos y dañar la reputación de la marca.

3 señales reveladoras de fraudes sofisticados a desarrolladores

La protección contra estas amenazas requiere un enfoque proactivo, que incluya la ejecución de análisis de seguridad periódicos, el establecimiento de políticas estrictas sobre el uso de repositorios de código de terceros y herramientas para desarrolladores, y el requisito de información a los desarrolladores sobre la evolución de los métodos de ataque.

Estas son tres señales de fraudes comunes y las prácticas recomendadas que las organizaciones pueden implementar para ayudar a reducir el riesgo de ataques:

1.Los errores tipográficos pueden ocultar paquetes infectados con malware.

Esta técnica, también conocida como "typosquatting", engaña a los usuarios para que descarguen paquetes maliciosos que comparten nombres similares con paquetes de software populares. Un simple error tipográfico no detectado puede desencadenar la implementación de malware una vez que el usuario ha instalado el paquete peligroso, lo que permite al atacante llevar a cabo otras acciones.

La prevención de este tipo de ataques requiere que los desarrolladores examinen detenidamente los nombres de los paquetes antes de continuar con el proceso de descarga e instalación, incluso cuando el paquete procede de una fuente de confianza.

2. Los paquetes de confianza pueden ocultar actualizaciones maliciosas.

Incluso los paquetes que ya han sido examinados en busca de contenido sospechoso y vulnerabilidades pueden ser peligrosos en futuras actualizaciones, lo que puede propiciar ataques cuando menos se espera. Sin embargo, la comprobación manual de cada actualización de paquete puede ralentizar las actualizaciones de seguridad necesarias, desviar la atención de otras iniciativas de desarrollo, ser cara y exigir mucho tiempo si se lleva a cabo de forma periódica.

Evitar actualizaciones maliciosas como estas puede implicar una serie de técnicas, desde priorizar las actualizaciones de seguridad críticas hasta el uso de herramientas automatizadas para ayudar a escanear los paquetes en busca de nuevas vulnerabilidades.

3. Las herramientas de seguridad para desarrolladores y los paquetes de utilidades pueden ocultar actividades maliciosas.

Al igual que las herramientas de ofuscación de código que ocultaban el malware BlazeStealer, otras herramientas de seguridad para desarrolladores y paquetes de utilidades (incluso algo tan sencillo como una herramienta de validación de correo electrónico) pueden iniciar una cadena de acciones maliciosas inesperadas. De tener éxito, el atacante puede obtener acceso a credenciales protegidas, datos, sistemas de desarrolladores e infraestructura de producción, lo que le permitirá ampliar con rapidez su superficie de ataque.

Detener ataques como estos no es tan sencillo como inspeccionar manualmente los paquetes de código abierto o implementar ciertos servicios de automatización para escanear proactivamente las vulnerabilidades. Si bien los desarrolladores pueden ser el objetivo de estos ataques, depende de las organizaciones adoptar una postura que priorice la seguridad, una que asuma el riesgo incluso cuando se utilicen repositorios y herramientas de confianza.

Mitiga los ataques sofisticados a los desarrolladores

Con la proliferación de repositorios de código abierto y el aumento de la dependencia de las organizaciones en ellos, los atacantes están encontrando formas más eficaces y sofisticadas de infiltrarse en los sistemas de los desarrolladores. Esta tendencia hace que la implementación de una estrategia sólida de detección y respuesta a las amenazas sea más crucial que nunca.

La plataforma unificada e inteligente de Cloudflare ayuda a las organizaciones a proteger su infraestructura y sus datos de las amenazas emergentes y a aplicar estrictos controles de datos. Con Cloudflare, las organizaciones pueden:

• Minimizar la exposición y el robo de datos confidenciales: analiza el código fuente en tránsito (a través de la inspección HTTP) y evita las cargas no autorizadas a repositorios de código abierto y herramientas de IA peligrosas.

• Supervisar los riesgos potenciales en los repositorios públicos: detecta una variedad de riesgos de pérdida de datos, configuraciones erróneas de cuentas y seguridad de los usuarios cuando utilices repositorios públicos, como GitHub.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Más información sobre este tema

Consigue el libro electrónico Everywhere Security: Proteger a las organizaciones modernas de las amenazas sin sofocar la innovación para descubrir cómo Cloudflare ayuda a las organizaciones a proteger sus entornos de desarrollo contra amenazas complejas y en constante evolución.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Por qué los repositorios de código abierto son un caldo de cultivo para el malware

• Cómo atacan los ciberdelincuentes a las herramientas y los ecosistemas de los desarrolladores.

• Las estrategias para detectar y detener estafas sofisticadas.

Recursos relacionados

• Everywhere Security para cada fase del ciclo de vida de los ataques

• Simplificamos la protección de las aplicaciones SaaS

• Infografía: Cómo afectan la codificación moderna, la IA y la nube a tu estrategia de protección de datos