Github el lunes anunciado que cambiará sus opciones de autenticación y publicación «en el futuro cercano» en respuesta a un ola reciente de ataques de la cadena de suministro dirigido al ecosistema NPM, incluido el Ataque de Shai-Hulud.
Esto incluye pasos para abordar las amenazas planteadas por el abuso de tokens y el malware autorreplicante al permitir la publicación local con la autenticación de dos factores requerida (2FA), fichas granulares que tendrá una vida limitada de siete días, y Publicación de confianzaque permite la capacidad de publicar de forma segura los paquetes NPM directamente desde los flujos de trabajo CI/CD utilizando OpenID Connect (OIDC).
La publicación confiable, además de eliminar la necesidad de tokens NPM, establece confianza criptográfica al autenticar cada publicación utilizando credenciales de corta duración y flujo de trabajo que no pueden exfiltrarse o reutilizarse. Aún más significativamente, la CLI de NPM genera automáticamente y publica certificaciones de procedencia para el paquete.
«Cada paquete publicado a través de la publicación de confianza incluye pruebas criptográficas de su origen y entorno de construcción», GitHub anotado A fines de julio de 2025. «Sus usuarios pueden verificar dónde y cómo se construyó su paquete, aumentando la confianza en su cadena de suministro».
Para respaldar estos cambios, la compañía propiedad de Microsoft dijo que promulgará los siguientes pasos –
- Deprecita las fichas clásicas de Legacy.
- Descarte la contraseña de un solo tiempo (TOTP) 2FA, migrando a los usuarios a 2FA basado en FIDO.
- Limite las fichas granulares con permisos de publicación a un vencimiento más corto.
- Establezca el acceso de publicación para no permitir tokens por defecto, alentando el uso de editores de confianza o publicación local forzada.
- Elimine la opción de omitir 2FA para la publicación de paquetes locales.
- Expandir proveedores elegibles para la publicación confiable.
El desarrollo se produce una semana después de un ataque con la cadena de suministro con nombre en código Shai-Hulud inyectado Un gusano autorreplicante en cientos de paquetes de NPM que escanearon máquinas de desarrolladores para secretos sensibles y los transmitieron a un servidor controlado por el atacante.
«Al combinar la autorreplicación con la capacidad de robar múltiples tipos de secretos (y no solo tokens de NPM), este gusano podría haber habilitado un flujo interminable de ataques si no hubiera sido por acción oportuna de Github y mantenedores de código abierto», dijo Xavier René-Corail de Github.
El paquete NPM incluye técnica basada en código QR
La divulgación se produce cuando la compañía de seguridad de la cadena de suministro de software, Socket, dijo que identificó un paquete NPM malicioso llamado fezbox Eso es capaz de cosechar contraseñas de navegador utilizando una técnica esteganográfica novedosa. El paquete ya no está disponible para descargar desde NPM. Atrajo un total de 476 descargas ya que era Primero publicado el 21 de agosto de 2025.
«En este paquete, el actor de amenaza (alias de NPM Janedu; correo electrónico de registro Janedu0216@gmail[.]com) ejecuta una carga útil dentro de un código QR para robar credenciales de nombre de usuario y contraseña de las cookies web, dentro del navegador «, investigadora de seguridad Olivia Brown dicho.
Fezbox afirma ser una utilidad de JavaScript que consiste en funciones comunes de ayuda auxiliar. Pero, en realidad, alberga un código sigiloso para obtener un código QR de una URL remota, analizar el código QR y ejecutar la carga útil de JavaScript contenida dentro de esa URL.
La carga útil, por su parte, intenta leer document.cookieextrae información de nombre de usuario y contraseña de la cookie, y transmite la información a un servidor externo («my-nest-approduction> .up.Railway[.]aplicación «) a través de una solicitud de publicación HTTPS.
«La mayoría de las aplicaciones ya no almacenan contraseñas literales en cookies, por lo que es difícil decir cuán exitoso sería este malware en su objetivo», señaló Brown. «Sin embargo, el uso de un código QR para una ofuscación adicional es un giro creativo por parte del actor de amenazas. Esta técnica demuestra cómo los actores de amenaza continúan mejorando sus técnicas de ofuscación y por qué tener una herramienta dedicada para verificar sus dependencias es más importante que nunca».
Fuente