El artículo describe cómo construir, con herramientas de código abierto, un sistema para localizar credenciales expuestas en texto plano en los equipos de desarrolladores antes de que malware como el gusano Shai-Hulud pueda robarlas. El problema es creciente: gestores de paquetes como PyPI, npm, VS Code Extensions, OpenVSX y brew amplían la superficie de ataque, y millones de desarrolladores disponen de ejecución de código en sus máquinas, ahora también los usuarios no técnicos mediante agentes que descargan los mismos paquetes. Muchas organizaciones carecen de controles específicos y delegan en el EDR.
La propuesta combina tres piezas. Bagel, desarrollado por Boost Security y escrito en Go, escanea el directorio home del usuario en busca de claves SSH, credenciales de GitHub y de proveedores cloud, entre otras, y emite resultados en JSON con severidad y ubicación, sin registrar los secretos. Fleet, plataforma open source basada en osquery para IT y seguridad, ofrece despliegue de paquetes, consultas de política, integración con proveedores de identidad mediante API y webhooks, y una tabla de osquery específica para parsear JSON, lo que permite convertir los hallazgos de Bagel en verificaciones repetibles. Fleebag, repositorio proof-of-concept del autor, sirve de pegamento: empaqueta Bagel y un LaunchAgent en un instalable macOS, define una query de Fleet que recoge los hallazgos y una política que solo pasa si los resultados están frescos y no contienen hallazgos críticos, e incluye un perfil de macOS para conceder acceso de disco completo sin intervención del usuario.
El texto también señala limitaciones importantes: la falta de firma y notarización del binario, la ausencia de un sistema completo de limpieza automática, y la conveniencia de combinar la solución con gestión de secretos (1Password, Yubikey) y herramientas de autorización de acceso a ficheros como Phorion o Santa. El autor concluye que securizar las estaciones de desarrollo es una medida básica y urgente para mitigar el impacto de los ataques a la cadena de suministro de software.
