Github anunció el lunes que cambiará su autenticación y su publicación de opciones “en el futuro cercano” en respuesta a una fresco ola de ataques de esclavitud de suministro dirigido al ecosistema NPM, incluido el ataque Shai-Hulud.
Esto incluye pasos para enfrentarse las amenazas planteadas por el demasía de tokens y el malware auto-replicación al permitir la publicación específico con autenticación de dos factores requerida (2FA), tokens granulares que tendrán una vida útil limitada de siete días y publicaciones confiables, lo que permite la capacidad de informar de forma segura los paquetes NPM directamente de los IC/flujos de trabajo de IC/CD que utilizan Connect OpenID (OIDC).
La publicación confiable, adicionalmente de eliminar la carencia de tokens NPM, establece confianza criptográfica al autenticar cada publicación utilizando credenciales de corta duración y flujo de trabajo que no pueden exfiltrarse o reutilizarse. Aún más significativamente, la CLI de NPM genera automáticamente y publica certificaciones de procedencia para el paquete.
“Cada paquete publicado a través de la publicación de confianza incluye pruebas criptográficas de su origen y entorno de construcción”, señaló Github a fines de julio de 2025. “Sus usuarios pueden demostrar dónde y cómo se construyó su paquete, aumentando la confianza en su esclavitud de suministro”.
Para respaldar estos cambios, la compañía propiedad de Microsoft dijo que promulgará los siguientes pasos –
- Deprecita las fichas clásicas de Legacy.
- Rechazo la contraseña de un solo tiempo (TOTP) 2FA, migrando a los usuarios a 2FA basado en FIDO.
- Limite las fichas granulares con permisos de publicación a un vencimiento más corto.
- Establezca el paso de publicación para no permitir tokens por defecto, alentando el uso de editores de confianza o publicación específico forzada.
- Elimine la opción de prescindir 2FA para la publicación de paquetes locales.
- Expandir proveedores elegibles para la publicación confiable.
El crecimiento se produce una semana a posteriori de que un ataque con esclavitud de suministro con nombre en código Shai-Hulud inyectó un oruga autorreplicante en cientos de paquetes de NPM que escanearon máquinas de desarrolladores para secretos sensibles y los transmitieron a un servidor controlado por el atacante.
“Al combinar la autorreplicación con la capacidad de robar múltiples tipos de secretos (y no solo tokens de NPM), este oruga podría acontecer adaptado un flujo interminable de ataques si no hubiera sido por acto oportuna de Github y mantenedores de código hendido”, dijo Xavier René-Corail de Github.
El paquete NPM incluye técnica basada en código QR
La divulgación se produce cuando la compañía de seguridad de la esclavitud de suministro de software Socket dijo que identificó un paquete NPM malvado llamado Fezbox que es capaz de cosechar contraseñas de navegador utilizando una nueva técnica esteganográfica. El paquete ya no está acondicionado para descargar desde NPM. Atrajo un total de 476 descargas desde que se publicó por primera vez el 21 de agosto de 2025.
“En este paquete, el actor de amenaza (seudónimo de NPM Janedu; correo electrónico de registro Janedu0216@gmail (.) Com) ejecuta una carga útil internamente de un código QR para robar credenciales de nombre de agraciado y contraseña de cookies web, internamente del navegador”, dijo la investigadora de seguridad Olivia Brown.
Fezbox afirma ser una utilidad de JavaScript que consiste en funciones comunes de ayuda auxiliar. Pero, en existencia, alberga un código sigiloso para obtener un código QR de una URL remota, analizar el código QR y ejecutar la carga útil de JavaScript contenida internamente de esa URL.
La carga útil, por su parte, intenta descubrir document.cookie, extrae información de nombre de agraciado y contraseña de la cookie, y transmite la información a un servidor extranjero (“my-nest-app-producción> .up.railway (.) Aplicación”) a través de una solicitud de publicación HTTPS.
“La mayoría de las aplicaciones ya no almacenan contraseñas literales en cookies, por lo que es difícil aseverar cuán exitoso sería este malware en su objetivo”, señaló Brown. “Sin secuestro, el uso de un código QR para una ofuscación adicional es un molinete creativo por parte del actor de amenazas. Esta técnica demuestra cómo los actores de amenaza continúan mejorando sus técnicas de ofuscación y por qué tener una utensilio dedicada para demostrar sus dependencias es más importante que nunca”.
