Un grupo de hackers infectó decenas de paquetes oficiales de Red Hat con un malware que roba contraseñas y otros datos.
Un nuevo malware lleva semanas atacando servidores Linux y acaba de dar un golpe muy serio. Los hackers han conseguido infiltrarse en paquetes de software de Red Hat usados por miles de desarrolladores en todo el mundo. La escala del ataque es suficientemente grande como para que cualquier equipo que trabaje con estas herramientas deba actuar de inmediato.
La firma de seguridad de Aikido confirmó que más de 30 paquetes oficiales de Red Hat Cloud Services, una división de Red Hat que ofrece herramientas de software para desarrolladores, quedaron comprometidos con un malware diseñado para robar credenciales. De acuerdo con el reporte, 96 versiones de 32 paquetes distintos quedaron infectadas, con una cifra de descargas acumuladas que ronda las 117.000 por semana.
A diferencia de otros ataques con paquetes falsos, los atacantes lograron comprometer la cuenta de GitHub de un empleado de Red Hat y desde ahí inyectaron código malicioso en los repositorios legítimos. Esto significa que aquellos que descargaban estos paquetes obtenían versiones oficiales, pero con una trampa dentro.
Los investigadores de seguridad detallaron que el malware se activa en el momento en que instalas el paquete. Existe un fragmento de código que se ejecuta automáticamente antes de que cualquier otra cosa suceda, y en ese momento descarga y lanza un payload de 4,2 MB diseñado para pasar desapercibido por los sistemas de seguridad habituales.
Cómo roba tus datos el nuevo malware de Red Hat
Una vez activo, el malware empieza a buscar y recopilar prácticamente cualquier credencial que encuentre en el sistema. Tus claves de acceso a servicios en la nube como AWS, Azure o Google Cloud, tokens de GitHub, claves SSH privadas, contraseñas almacenadas en archivos de configuración y mucho más quedarán a merced de los atacantes.
Cuando el malware recoge toda esa información, la envía a repositorios públicos de GitHub creados por los propios atacantes. Para camuflar ese tráfico de datos en los registros de red, las conexiones simulan dirigirse hacia api.anthropic.com, un dominio legítimo de Anthropic que se usa para no levantar sospechas.
Además, el paquete instala servicios persistentes en el sistema operativo que se mantienen activos después de que el malware termina su tarea. También inyecta código en herramientas de desarrollo habituales como Visual Studio Code, GitHub Copilot o incluso Claude, aunque existe algo todavía más peligroso.
Si alguien intenta revocar sus credenciales de GitHub antes de eliminar el malware del sistema, este puede borrar el directorio de inicio del usuario. Es por ello que los investigadores en seguridad recomiendan eliminar completamente los archivos infectados antes de cambiar contraseñas o revocar tokens. Una vez hecho esto, lo recomendable es regenerar todas las credenciales expuestas y revisar si se crearon repositorios no autorizados de las cuentas afectadas.
Según CyberSecurityNews, la mayoría de las versiones maliciosas ya han sido eliminadas del repositorio oficial de Red Hat Cloud Services. Algunos expertos advierten que este incidente demuestra lo frágil que es la cadena de suministro de software cuando un solo punto de entrada queda comprometido. Red Hat tiene una base de clientes conformada por miles de organizaciones de todo el mundo, incluyendo Apple, Microsoft, Amazon, IBM y Salesforce.
FUENTE ORIGINAL: Hipertextual.Com
