Github anunció el lunes que cambiará su autenticación y opciones de publicación para el «futuro cercano» en respuesta a una reciente ola de ataques de cadena de suministro dirigido al ecosistema NPM, incluido el ataque Shai-Hulud.
Esto incluye pasos para abordar la amenaza planteada por el abuso de tokens y los pasos para permitir la publicación local con la autenticación de dos factores requerida (2FA) para permitir tokens granulares con una vida útil limitada de 7 días y una publicación confiable que permite la capacidad de publicar paquetes NPM directamente desde flujos de trabajo de CI/CD.
Además de eliminar la necesidad de tokens NPM, Trusted Publishing establece la confianza de cifrado al autenticar cada público con credenciales específicas de flujo de trabajo de corta duración. Más importante aún, la CLI NPM genera automáticamente y publica la prueba de origen del paquete.
«Todos los paquetes publicados a través de la publicación de confianza contienen pruebas cifradas de sus fuentes y entornos de construcción», dijo Github a fines de julio de 2025.
Para respaldar estos cambios, la compañía propiedad de Microsoft dijo que planea promulgar los siguientes pasos:
Describiendo las fichas clásicas de legado. Desprecia la contraseña de un solo tiempo (TOTP) 2FA y migra a los usuarios a 2FA basado en FIDO. Limite las fichas granulares con permiso de publicación para una fecha de vencimiento más corta. Establezca el acceso público a los tokens que están prohibidos por defecto y promueven el uso de editores de confianza o la publicación local forzada 2FA. Elimine la opción de omitir 2FA para la publicación de paquetes locales. Expandir proveedores elegibles para publicaciones confiables.
El desarrollo tuvo lugar una semana después de un ataque de la cadena de suministro llamado Codename Shai-Hulud inyectó gusanos autorreplicantes en cientos de paquetes de NPM, escaneando máquinas de desarrolladores y enviándolos a servidores controlados por atacantes para secretos sensibles.
«Al combinar la autorreplicación con la capacidad de robar múltiples tipos de secretos (así como tokens NPM), el gusano puede haber permitido ataques interminables para una acción oportuna de Github y mantenedores de código abierto».
El paquete NPM incluye técnicas basadas en código QR
La divulgación se produce cuando la compañía de seguridad de la cadena de suministro de software Socket ha declarado que ha identificado un paquete Malicioso NPM que le permite cosechar contraseñas del navegador utilizando la nueva tecnología Steganográfica. Los paquetes ya no se pueden descargar desde NPM. Desde que se publicó por primera vez el 21 de agosto de 2025, ha atraído un total de 476 descargas.
«En este paquete, el actor de amenaza (alias NPM Janedu; correo electrónico registrado JanedU0216@gmail (.) Com) ejecuta una carga útil dentro de un código QR para robar credenciales de nombre de usuario y contraseña de las cookies web en el navegador».
Fezbox afirma ser una utilidad de JavaScript que consiste en funciones comunes de ayuda auxiliar. Pero en realidad, hay un código de sigilo que obtiene un código QR de una URL remota, analiza el código QR y ejecuta la carga útil de JavaScript contenida dentro de esa URL.
Para esa parte, la carga útil lee el document.cookie, extrae información de nombre de usuario y contraseña de la cookie, y envía la información a un servidor externo («my-nest-app-producción> .up.railway (.) Aplicación») a través de una solicitud de publicación HTTPS.
«La mayoría de las aplicaciones ya no almacenan contraseñas literales en cookies, por lo que es difícil decir cuán exitoso puede ser este malware para lograr sus objetivos», dijo Brown. «Sin embargo, el uso de códigos QR para una mayor ofuscación es un giro creativo de los actores de amenaza. Esta técnica muestra por qué es más importante que nunca que los actores de amenaza continúen mejorando sus técnicas de ofuscación y tengan herramientas dedicadas para verificar sus dependencias».
Source link
