Por Angel Di Matteo 𝕏 @shadowargelLa investigación identificó fallas en repositorios de Microsoft, Google, Apache, Cloudflare y la Python Software Foundation, aunque todas las organizaciones ya corrigieron los problemas antes de que fueran explotados. Los investigadores advierten, sin embargo, que este tipo de errores podría seguir propagándose debido al uso creciente de asistentes de programación basados en inteligencia artificial.
***
- Novee descubrió una nueva clase de vulnerabilidades denominada “Cordyceps”.
- Microsoft, Google, Apache, Cloudflare y Python corrigieron las fallas detectadas.
- Los ataques permitían robar credenciales e insertar código malicioso.
- Un análisis de 30.000 repositorios identificó unas 300 cadenas de ataque explotables.
- Los investigadores alertan que la IA podría seguir reproduciendo estos errores.
Las cadenas de suministro de software se han convertido en uno de los principales objetivos de los ciberdelincuentes. En lugar de atacar directamente a los usuarios finales, los atacantes buscan comprometer las herramientas utilizadas por los propios desarrolladores para distribuir actualizaciones y nuevas versiones de software. La vulnerabilidad “Cordyceps” representa un nuevo ejemplo de este tipo de amenazas, al demostrar cómo pequeños errores en los flujos automatizados de desarrollo pueden convertirse en puertas de entrada hacia miles o incluso millones de sistemas.
Una nueva clase de ataques contra GitHub Actions
La firma de ciberseguridad Novee presentó una investigación en la que describe una nueva familia de vulnerabilidades bautizada como Cordyceps, nombre inspirado en el hongo parásito capaz de controlar el comportamiento de sus huéspedes.
El estudio se centra en los sistemas de Integración Continua y Despliegue Continuo (CI/CD), particularmente en los flujos automatizados de GitHub Actions, ampliamente utilizados por proyectos de software libre y grandes empresas tecnológicas para ejecutar pruebas, compilar aplicaciones y distribuir nuevas versiones de sus productos, detalla Cryptopolitan.
Según los investigadores, cualquier persona con una cuenta gratuita de GitHub podía iniciar determinadas cadenas de ataque simplemente enviando un pull request o incluso publicando un comentario en un repositorio vulnerable.
El problema surgía cuando un flujo de trabajo con permisos limitados aceptaba información proporcionada por usuarios externos y posteriormente transfería esos datos a un segundo proceso con privilegios elevados. Ese segundo flujo podía contener credenciales de proveedores de nube, claves para firmar código o tokens permanentes capaces de otorgar acceso completo al repositorio.
Un problema difícil de detectar
Uno de los aspectos más preocupantes de Cordyceps es que las vulnerabilidades no aparecen en un único archivo o configuración aislada.
Los investigadores explican que cada uno de los pasos individuales suele superar sin inconvenientes las auditorías de seguridad tradicionales. La vulnerabilidad únicamente se hace visible cuando se analiza el recorrido completo de los datos desde el momento en que un usuario externo interactúa con el repositorio hasta que esos datos alcanzan procesos privilegiados.
Durante su investigación, Novee analizó alrededor de 30.000 repositorios públicos e identificó aproximadamente 300 cadenas de ataque completamente explotables siguiendo este patrón.
De acuerdo con la firma, un atacante podía utilizar estas fallas para robar credenciales permanentes, introducir código malicioso dentro de proyectos legítimos o comprometer la cadena de suministro de software utilizada posteriormente por miles de organizaciones.
Grandes empresas entre los afectados
La investigación identificó vulnerabilidades en algunos de los proyectos de código abierto más relevantes de la industria tecnológica.
En Microsoft, los investigadores detectaron un problema dentro del proyecto Azure Sentinel que habría permitido ejecutar código malicioso sobre la infraestructura de integración continua de la compañía y obtener una clave permanente de GitHub App. Con ella, un atacante habría podido modificar contenido de seguridad distribuido posteriormente a clientes del servicio Sentinel.
En Google, una vulnerabilidad dentro del repositorio del AI Agent Development Kit, que supera las 9.200 estrellas en GitHub, podía otorgar privilegios administrativos completos sobre el proyecto alojado en Google Cloud mediante un único pull request.
La investigación también encontró dos rutas de ataque distintas en Apache Doris, una base de datos analítica de código abierto. Una permitía robar credenciales internas simplemente comentando un pull request, mientras otra facilitaba la obtención de un token con permisos completos para modificar código, paquetes y documentación.
En Cloudflare, el proyecto Workers SDK resultó vulnerable a la ejecución arbitraria de comandos utilizando nombres de ramas especialmente diseñados para activar el fallo.
Finalmente, el popular formateador de código Black, mantenido por la Python Software Foundation y con más de 130 millones de descargas, podía permitir el robo del token utilizado por su sistema automatizado de aprobación de cambios, facilitando la incorporación de código malicioso en futuras actualizaciones.
No hubo explotación antes de los parches
Pese a la gravedad potencial de las vulnerabilidades, Novee confirmó que no encontró evidencia de que ninguna de ellas hubiera sido explotada antes de que las organizaciones aplicaran las correcciones correspondientes.
Los investigadores notificaron de forma responsable cada uno de los hallazgos, permitiendo que Microsoft, Google, Apache, Cloudflare y la Python Software Foundation solucionaran los problemas antes de hacer pública la investigación.
La inteligencia artificial podría agravar el problema
Aunque las vulnerabilidades ya fueron corregidas, Novee advierte que el riesgo está lejos de desaparecer.
La firma sostiene que los asistentes de programación basados en inteligencia artificial podrían seguir reproduciendo estos mismos patrones inseguros al generar automáticamente archivos de configuración para GitHub Actions y otros sistemas de automatización. En consecuencia, errores similares podrían propagarse rápidamente entre millones de repositorios si los desarrolladores aceptan ese código sin revisarlo cuidadosamente.
Por esa razón, los investigadores recomiendan que las organizaciones comiencen a tratar los archivos de configuración de sus sistemas CI/CD con el mismo nivel de rigor que aplican al código fuente de sus aplicaciones. Para los responsables de seguridad (CISO), esto implica incorporar revisiones específicas de los flujos automatizados dentro de los procesos habituales de auditoría, ya que una simple configuración aparentemente inocua puede convertirse en la puerta de entrada para comprometer toda la cadena de suministro de software.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Europa
Unión Europea endurece supervisión regulatoria sobre AWS y Azure bajo la Ley de Mercados Digitales
IA
La IA no hunde la ingeniería: datos muestran que es el empleo más resiliente en tecnología
Privacidad
Cellebrite cortó lazos con Rusia, pero sus herramientas siguieron usándose contra un disidente
Entrevistas