Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Alerta crítico: Ataque masivo a la cadena de suministro afecta al ecosistema NPM

2025-09-16
Alerta crítico: Ataque masivo a la cadena de suministro afecta al ecosistema NPM

Más de 40 paquetes npm, incluido el popular paquete @ctrl/tinycolor (más de 2 millones de descargas semanales), se han visto comprometidos en un sofisticado ataque a la cadena de suministro. El atacante utilizó un mecanismo de autopropagación para infectar las dependencias aguas abajo, provocando un compromiso en cascada. La carga útil es un script empaquetado con Webpack que roba credenciales de la nube AWS, GCP, GitHub y otras, estableciendo persistencia a través de GitHub Actions. El ataque ha provocado el robo generalizado de credenciales; se requiere una acción inmediata para verificar los paquetes afectados y rotar todas las credenciales.

Leer más
(www.stepsecurity.io)
Desarrollo Ataque a la cadena de suministro

Compromiso de GitHub Action: tj-actions/changed-files inyectando código malicioso

2025-03-15
Compromiso de GitHub Action: tj-actions/changed-files inyectando código malicioso

Un incidente de seguridad crítico ha comprometido la acción de GitHub tj-actions/changed-files, afectando a más de 23.000 repositorios. Los atacantes modificaron retroactivamente varias etiquetas de versión para apuntar a un commit malicioso, exponiendo secretos de CI/CD en registros de compilación públicos. StepSecurity Harden-Runner detectó esta anomalía. La acción comprometida ejecuta un script Python malicioso que vuelca secretos del proceso Runner Worker. Se requiere acción inmediata: deje de usar la acción afectada y revise los registros de compilación en busca de secretos filtrados.

Leer más
(www.stepsecurity.io)
Desarrollo