Por Mid 
Paquetes maliciosos en Nx comprometen proyectos de S1ngularity y permiten ejecutar código remoto
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- Se han detectado paquetes npm maliciosos que permiten el robo de credenciales de usuarios.
- La técnica de typosquatting facilitó la instalación errónea por parte de los desarrolladores.
- La exfiltración de secretos puede comprometer proyectos enteros usando Nx y sus dependencias.
- Es fundamental llevar a cabo auditorías regulares de dependencias para mitigar riesgos.
- La comunicación rápida sobre amenazas y la eliminación de librerías fraudulentas son cruciales.
Índice
Proceso del ataque
Recientemente, los administradores del sistema de construcción Nx emitieron una advertencia sobre un ataque serio que afecta su cadena de suministro: se han encontrado versiones maliciosas de paquetes npm vinculados a S1ngularity que incorporaban código diseñado para robar información confidencial. Se estima que alrededor de 2,349 credenciales —pertenecientes a GitHub, servicios en la nube y plataformas de inteligencia artificial— fueron enviadas a servidores controlados por los atacantes.
En primer lugar, se implementó una técnica de typosquatting, en la que los atacantes lanzaron paquetes con nombres casi idénticos a los de Nx, lo que facilitó su instalación por error por parte de los usuarios. Además, la carga maliciosa contenía scripts dentro de postinstall que descargaban binarios desde dominios que estaban bajo el control de los atacantes. La exfiltración de secretos se produjo cuando las variables de entorno de integración continua, como claves de API y tokens de publicación, eran enviadas a un servidor externo. Al comprometer estas dependencias, los proyectos construidos sobre Nx que utilizaban dichos módulos quedaban automáticamente en una posición vulnerable.
Repercusiones potenciales
Las repercusiones potenciales de este ataque son significativas. Se incluye el robo de credenciales y el acceso no autorizado a repositorios, así como la ejecución remota de comandos en entornos de desarrollo y pipelines de CI/CD. Existe el riesgo también de que usuarios que descarguen proyectos construidos con las dependencias afectadas sufran ataques en cascada. Los atacantes podrían mantener versiones maliciosas activas introduciendo cambios mínimos para eludir los mecanismos de detección.
Recomendaciones
A frente este contexto, se sugieren una serie de recomendaciones: es fundamental realizar auditorías y revisiones periódicas de dependencias. Se deben emplear archivos de bloqueo de versiones (lockfiles) para prevenir instalaciones no deseadas. Asimismo, se recomienda aislar entornos destinados a la compilación e integración, limitando al máximo el acceso a secretos críticos. La verificación de firmas digitales y sumas de verificación de los paquetes antes de su integración en proyectos esenciales es otra medida que debe ser considerada. Por último, es imperativo comunicar y eliminar con rapidez las librerías fraudulentas del registro npm para detener su difusión.
Conclusiones
Este incidente subraya que la seguridad de la cadena de suministro depende de una vigilancia constante sobre las dependencias externas, una práctica que se vuelve cada vez más crucial en escenarios de desarrollo colaborativo y abierto.
Referencias
- Ejemplo de fuente de seguridad
- Información sobre typosquatting
- Auditoría de dependencias en proyectos de software