La cuenta de GitHub de Salesloft comprometida desencadenó una brecha de la cadena de suministro de Drift, según Mandiant

La cuenta de GitHub de Salesloft comprometida desencadenó una brecha de la cadena de suministro de Drift, según Mandiant

Resumen del incidente

Salesloft ha confirmado que la cadena de eventos detrás de una filtración de datos vinculada a su aplicación Drift comenzó con la compromisión de una cuenta de GitHub de Salesloft. Mandiant, propiedad de Google y encargada de investigar el incidente, informó que el actor de amenaza rastreado como UNC6395 accedió a la cuenta de GitHub de Salesloft desde marzo hasta junio de 2025. Hasta el momento, 22 empresas han confirmado que se vieron afectadas por la consiguiente brecha de la cadena de suministro.

“El actor de amenaza, rastreado como UNC6395, accedió a la cuenta de GitHub de Salesloft desde marzo hasta junio de 2025.” — Mandiant (informado)

Antecedentes y contexto: por qué importa

Los ataques a la cadena de suministro se dirigen a proveedores de software de confianza, bibliotecas, sistemas de compilación o repositorios para alcanzar a numerosos clientes aguas abajo a través de una única intrusión. Cuando un atacante obtiene acceso a recursos de un proveedor o de sus desarrolladores —incluyendo código fuente, canalizaciones CI/CD, archivos de configuración o claves de despliegue— puede modificar compilaciones, insertar código malicioso, exfiltrar secretos o ampliar el acceso a otros entornos. Eso amplifica el alcance del atacante: un único repositorio o punto de integración comprometido puede afectar a decenas o cientos de clientes.

Incidentes de cadena de suministro de alto perfil en años recientes han mostrado el riesgo sistémico que suponen estas compromisiones. Los atacantes que acceden a cuentas de desarrolladores o a la infraestructura de compilación pueden explotar la automatización y las relaciones de confianza en las que las organizaciones confían para mover código rápidamente a producción.

Implicaciones técnicas y análisis experto para profesionales

Basándose en los hechos que Mandiant informó —es decir, el acceso sostenido a GitHub por parte de UNC6395 durante varios meses— hay varias implicaciones técnicas que los profesionales deberían considerar, incluso en ausencia de divulgación pública completa sobre técnicas o artefactos exactos:

• Persistencia y reconocimiento: Un atacante presente en un repositorio durante un periodo de varios meses tiene tiempo para explorar los árboles de código, leer o exfiltrar configuraciones y secretos, y mapear las canalizaciones CI/CD y los objetivos de despliegue.
• Manipulación en tiempo de compilación: El acceso a un repositorio o a su configuración de CI puede permitir la modificación de scripts de compilación, Dockerfiles, manifiestos de paquetes o artefactos publicados para introducir código malicioso que se distribuye a los clientes.
• Exposición de credenciales y movimiento lateral: Los repositorios a menudo contienen tokens, claves de despliegue o referencias a secretos. Los tokens comprometidos pueden reutilizarse para acceder a cuentas en la nube, servicios de terceros u otros repositorios a menos que se roten y limiten correctamente.
• Impacto en la cadena de suministro aguas abajo: Cuando un componente de un proveedor se integra en sistemas de clientes (por ejemplo, una aplicación de mensajería o automatización de ventas utilizada en muchas organizaciones), la brecha puede propagarse a los clientes que dependen de la integridad de dicho componente.

Estos no son resultados hipotéticos: reflejan los patrones de ataque observados en incidentes previos de la cadena de suministro en los que el acceso del atacante al código o a los sistemas de compilación permitió un impacto generalizado.

Casos comparables y tendencias generales

Aunque cada incidente tiene elementos únicos, el caso de Salesloft encaja en un patrón más amplio de compromisos de repositorios y de la cadena de suministro que han condicionado la postura de seguridad de los proveedores en los últimos años:

• SolarWinds (2020): Una puerta trasera insertada en el proceso de compilación de un producto de gestión de redes de amplia adopción condujo a compromisos de numerosas entidades gubernamentales y privadas y puso de manifiesto los riesgos de confiar en las actualizaciones de software.
• Codecov (2021): Los atacantes explotaron credenciales en scripts de CI para modificar herramientas de carga y exfiltrar credenciales, afectando a un gran número de clientes de Codecov y subrayando el peligro de secretos y tokens en artefactos de compilación.
• Tendencia actual: Los equipos de seguridad y las autoridades nacionales han advertido de forma consistente que los ataques a la cadena de suministro son de alto impacto y más difíciles de detectar porque explotan mecanismos legítimos de actualización y despliegue.

Estos casos demuestran causas raíz recurrentes: privilegios excesivos para herramientas de desarrollo, credenciales embebidas o de larga duración, verificación insuficiente de artefactos de compilación y telemetría limitada de la actividad CI/CD.

Riesgos potenciales y acciones recomendadas

Para proveedores, clientes y equipos de seguridad, la divulgación de Salesloft subraya prioridades operativas y estratégicas. A continuación se presentan recomendaciones prácticas y priorizadas que los equipos de seguridad pueden implementar de forma rápida y a medio plazo.

• Inmediatamente después de la detección
  • Revocar y rotar tokens, claves de despliegue y credenciales comprometidas asociadas con la cuenta de GitHub afectada. Asuma que cualquier token accesible desde el repositorio está comprometido hasta que se demuestre lo contrario.
  • Auditar commits recientes, ejecuciones de CI y artefactos de lanzamiento en busca de cambios no autorizados; comparar artefactos firmados con builds de referencia previos cuando estén disponibles.
  • Notificar a clientes y socios aguas abajo con rapidez, proporcionando detalles accionables sobre el alcance y los pasos de remediación.
• Controles a corto plazo (semanas)
  • Exigir autenticación multifactor (MFA) y llaves de seguridad hardware para todas las cuentas de desarrollador y de servicio con acceso a repositorios y CI.
  • Aplicar el principio de menor privilegio: limitar los permisos de repositorio y de la organización a los roles mínimos requeridos, y usar mecanismos de credenciales de corta duración cuando se soporten.
  • Habilitar detección de secretos y eliminar secretos del control de código fuente; cuando sea necesario mantener secretos, usar gestores de secretos o credenciales efímeras inyectadas en tiempo de ejecución.
  • Endurecer CI/CD: asegurar los entornos de compilación, exigir commits firmados y aplicar builds reproducibles y firma de artefactos cuando sea factible.
• Defensas programáticas a más largo plazo
  • Adoptar una lista de materiales de software (SBOM) y seguimiento de la procedencia de componentes para facilitar la identificación de clientes afectados y componentes impactados cuando ocurra un incidente del proveedor.
  • Implementar monitorización continua de dependencias y riesgos de la cadena de suministro, incluyendo análisis de composición de software (SCA) y detección de manipulaciones en las canalizaciones.
  • Incorporar evaluaciones de riesgo de proveedores y obligaciones contractuales sobre prácticas de desarrollo seguras, plazos de notificación de incidentes y firma de artefactos en los programas de compras y gestión de terceros.
  • Ejercitar planes de respuesta a incidentes que aborden explícitamente escenarios de cadena de suministro, incluyendo la comunicación con clientes aguas abajo y reguladores.

Consideraciones operativas y legales para proveedores y clientes

Más allá de la remediación técnica, una brecha en la cadena de suministro plantea cuestiones operativas y legales. Los proveedores deberían prepararse para apoyar a los clientes afectados con hallazgos forenses, cronologías y mitigaciones recomendadas. Mantener un canal de comunicación claro y oportuno —incluida la publicación de indicadores de compromiso (IOCs) y guías— reduce la confusión entre clientes y ayuda a la contención.

Los clientes también deben actualizar sus modelos de amenaza y registros de riesgo para contemplar la compromisión de un proveedor, priorizar la rotación de cualquier credencial proporcionada por el proveedor en sus entornos, y considerar controles compensatorios como segmentación de red y verificación más estricta del comportamiento de componentes de terceros.

Conclusión

El incidente de Salesloft —una compromisión de una cuenta de GitHub y el consiguiente impacto en la cadena de suministro que afectó al menos a 22 empresas— recuerda que las cuentas de desarrollador y la infraestructura de compilación son objetivos de alto valor. Los atacantes que consiguen acceso sostenido a repositorios pueden explotar la confianza incorporada en los sistemas modernos de CI/CD y distribución para alcanzar a clientes aguas abajo. Las organizaciones deben considerar el acceso a repositorios, los secretos y las canalizaciones CI/CD como activos críticos: aplicar MFA y principio de menor privilegio, eliminar secretos del control de código fuente, firmar y verificar artefactos, y mantener planes para la rotación rápida de tokens y la notificación a clientes. La lección colectiva de Salesloft y de casos anteriores como SolarWinds y Codecov es que la seguridad de la cadena de suministro requiere tanto controles técnicos como preparación operativa por parte de proveedores y consumidores de software.

Fuente: thehackernews.com