• معلومات عنا
  • أعلن
  • سياسة الخصوصية
  • اتصل بنا
أخبار ماستر تريند
  • بيت
    • مدونة
    • محل
  • دروس تعليمية
  • الأجهزة
  • الألعاب
  • الهواتف المحمولة
  • حماية
  • ويندوز
  • الذكاء الاصطناعي
  • برمجة
  • الشبكات
  • أخبار
  • Arabic Arabic
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Swedish Swedish
    • Dutch Dutch
لا يوجد نتيجة
شاهد جميع النتائج
  • بيت
    • مدونة
    • محل
  • دروس تعليمية
  • الأجهزة
  • الألعاب
  • الهواتف المحمولة
  • حماية
  • ويندوز
  • الذكاء الاصطناعي
  • برمجة
  • الشبكات
  • أخبار
  • Arabic Arabic
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Swedish Swedish
    • Dutch Dutch
لا يوجد نتيجة
شاهد جميع النتائج
أخبار ماستر تريند
لا يوجد نتيجة
شاهد جميع النتائج
يبدأ حماية

تسريب s1ngularity: 2,180 حسابًا و 7,200 مستودعًا.

رؤى ماستر تريند بواسطة رؤى ماستر تريند
6 من سبتمبر 2025
في حماية
وقت القراءة:قراءة 4 دقيقة
ل ل
0
تسريب s1ngularity - شعار GitHub على خلفية حمراء؛ تنبيه أمني لتسريب s1ngularity الذي يؤثر على GitHub وNPM، مما يعرض مستودعات المطورين للخطر.

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
مشترك
5
المشاهدات
شارك على الفيسبوكشارك على تويتر

محتويات

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. منشورات ذات صلة

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

شارك هذا:
فيسبوكلينكد إنبينتريستإكسريديتتمبلربلو سكايالخيوطيشارك

مقالات ذات صلة:

  • Armored RDP: اكتشف الخطوات الأساسية العشر!
    Armored RDP: اكتشف الخطوات الأساسية العشر! 🚀
    RDP مدرع: اتبع قائمتنا الشاملة المكونة من 10 خطوات لتأمين RDP الخاص بك في عام 2025 🔒✨ احمِ نظامك الآن!
  • Dotfiles على GitHub إدارة Linux بسهولة وسرعة!
    Dotfiles على GitHub: إدارة Linux بسرعة وسهولة! 🚀💻
    توفر لك ملفات Dotfiles على GitHub الوقت وتضمن لك النسخ الاحتياطية الآمنة. تحكم في نظام Linux الخاص بك بنقرة واحدة! 💻🔄⚡
  • 5 مخاطر عاجلة يجب أن تعرفها الآن
    الذكاء الاصطناعي العام: الثورة التكنولوجية التي ستغير حياتك 🌐🚀
    AGI: الذكاء الاصطناعي الذي كان يبدو وكأنه خيال موجود هنا. اكتشف ماذا يعني ذلك بالنسبة لك. 🤖🌟
  • مديرو كلمات المرور
    مديرو كلمات المرور 🚀: المفتاح لتجنب...
    تطبيقات إدارة كلمات المرور 🔑 هي الحل الأمثل لإنشاء كلمات مرور آمنة وحفظها بسهولة. امنع السرقة مع هذه التطبيقات!
  • وكلاء الذكاء الاصطناعي والأتمتة يضاعفون إنتاجيتك خمس مرات
    وكلاء الذكاء الاصطناعي والأتمتة: توفير الوقت و...
    تعمل وكلاء الذكاء الاصطناعي والأتمتة على إحداث ثورة في العمليات وتقليل المهام وتسريع النتائج للشركات الذكية.
  • مكافئات وحدة المعالجة المركزية Intel و AMD
    مكافئات وحدة المعالجة المركزية Intel و AMD
    هل تبحث عن مكافئات معالجات Intel و AMD؟ ابحث عن كل ما تحتاج إلى معرفته في دليلنا المتخصص. تعرف على المزيد الآن!

منشورات ذات صلة

  • خطأ معرف الحدث 1001: يمكن حله بسهولة الآن! ⚡
  • خصوصية الذكاء الاصطناعي: تعطيل Gemini وCopilot بنقرة واحدة 🔒
  • وكلاء الذكاء الاصطناعي: كيف يُحدثون تحولاً في عملك اليوم 💡⚡
  • مايكروسوفت ماجورانا 1: ثورة في الحوسبة الكمومية! 🚀
  • ChatBIT: آفاق جديدة للذكاء الاصطناعي العسكري الصيني
  • 🔥 Hot Raspberry Pi: تجنب الضرر بهذه الحيلة ⚠️
  • تثبيت Windows 11 Home بدون إنترنت
  • النسخ الاحتياطي لنظام التشغيل Windows 11: تجنب الخسائر الآن! ⚠️✨
العلامات: الأمن السيبرانيمحتوى دائم الخضرةالبرمجيات الخبيثة
المنشور السابق

تحسين برنامج تشغيل الرسومات: +40 % FPS مع تحديث واحد.

النشر القادم

كيفية اكتشاف ما يؤدي إلى إبطاء نظام التشغيل Windows على جهاز الكمبيوتر الخاص بك: تحقق الآن.

رؤى ماستر تريند

رؤى ماستر تريند

يشارك فريق التحرير لدينا مراجعات متعمقة ودروسًا وتوصيات لمساعدتك في تحقيق أقصى استفادة من أجهزتك وأدواتك الرقمية.

النشر القادم
كيفية اكتشاف ما يؤدي إلى إبطاء نظام Windows على جهاز الكمبيوتر الخاص بك - امرأة تستخدم جهاز كمبيوتر محمولاً يحمل علامة تحذير، وتبحث عن كيفية اكتشاف ما يؤدي إلى إبطاء نظام Windows على جهاز الكمبيوتر الخاص بها لإصلاح البطء وتحسين الأداء.

كيفية اكتشاف ما يؤدي إلى إبطاء نظام التشغيل Windows على جهاز الكمبيوتر الخاص بك: تحقق الآن.

5 1 تصويت
تقييم المقال
الاشتراك
وصول
إشعار
ضيف
ضيف
0 تعليقات
أقدم
الجديد أكثر الأكثر تأييدا
التعليقات على الإنترنت
انظر جميع التعليقات

ابق على اتصال

  • 976 المشجعين
  • 118 المتابعون
  • 1.4 ألف المتابعون
  • 1.8 ألف المشتركين

لا تفوت أحدث ما توصلت إليه التكنولوجيا والألعاب.
نصائح حصرية، وإرشادات إرشادية، وتحليلات كل يوم.

نموذج الاشتراك
  • الاتجاهات
  • تعليقات
  • آخر
كيفية إضافة ساعة إلى سطح مكتب Windows 11: 3 حيل مضمونة!

كيفية إضافة ساعة إلى سطح مكتب Windows 11: حقق المزيد في دقائق! ⏱️

1 مايو 2025
أفضل 12 بديلاً لـ Lucky Patcher لنظام Android

بدائل Lucky Patcher: 12 تطبيقًا أفضل وأسهل! 🎮⚡

12 مايو 2025
كيفية حفظ اللعبة في REPO

كيفية حفظ لعبتك في REPO 🔥 اكتشف السر لعدم فقدان التقدم

7 مايو 2025
كيفية استخدام AdGuard DNS على Android في عام 2024

كيفية استخدام AdGuard DNS على Android في عام 2025

11 مايو 2025
ميزات Gmail على نظام Android: وفر الوقت مع 5 نصائح

ميزات Gmail على Android: 5 حيل لم تكن تعرفها! 📱✨

12
إصلاح اللوحة الأم - إصلاح اللوحة الأم

إصلاح اللوحة الأم للكمبيوتر المحمول

10
تثبيت Windows 11 Home بدون إنترنت

تثبيت Windows 11 Home بدون إنترنت

10
كيفية عمل نسخة احتياطية لبرامج التشغيل في Windows 11/10 في 4 خطوات!

كيفية عمل نسخة احتياطية لبرامج التشغيل في Windows 11/10: تجنب الأخطاء! 🚨💾

10
مرشحات الألوان الخاصة بجهاز iPhone - امرأة تحمل جهاز iPhone تُظهر الإعدادات > إمكانية الوصول مع تشغيل مرشحات الألوان (الرمادي، الأحمر/الأخضر، الأزرق/الأصفر).

مرشحات الألوان في iPhone: 3 خطوات لتحسين القراءة الآن 📱✨

7 سبتمبر 2025
Switch 2 مقابل Switch 1 - شخص يحمل جهاز Nintendo Switch 2 المحمول باللون الأبيض مع الشعار على الشاشة، يوضح مقارنة تصميم Switch 2 مقابل Switch 1.

Switch 2 مقابل Switch 1: +FPS وشاشة 120 هرتز.

6 من سبتمبر 2025
حروب العفاريت في Oblivion: عفريت عدواني في كهف مظلم، يصرخ ويهاجم برمح بين الصواعد والسلاسل والقضبان.

حروب العفاريت في لعبة Oblivion: سرقة طوطم، إحداث الفوضى 💥⏳

6 من سبتمبر 2025
كيفية اكتشاف ما يؤدي إلى إبطاء نظام Windows على جهاز الكمبيوتر الخاص بك - امرأة تستخدم جهاز كمبيوتر محمولاً يحمل علامة تحذير، وتبحث عن كيفية اكتشاف ما يؤدي إلى إبطاء نظام Windows على جهاز الكمبيوتر الخاص بها لإصلاح البطء وتحسين الأداء.

كيفية اكتشاف ما يؤدي إلى إبطاء نظام التشغيل Windows على جهاز الكمبيوتر الخاص بك: تحقق الآن.

6 من سبتمبر 2025

آخر الأخبار

مرشحات الألوان الخاصة بجهاز iPhone - امرأة تحمل جهاز iPhone تُظهر الإعدادات > إمكانية الوصول مع تشغيل مرشحات الألوان (الرمادي، الأحمر/الأخضر، الأزرق/الأصفر).

مرشحات الألوان في iPhone: 3 خطوات لتحسين القراءة الآن 📱✨

7 سبتمبر 2025
0
Switch 2 مقابل Switch 1 - شخص يحمل جهاز Nintendo Switch 2 المحمول باللون الأبيض مع الشعار على الشاشة، يوضح مقارنة تصميم Switch 2 مقابل Switch 1.

Switch 2 مقابل Switch 1: +FPS وشاشة 120 هرتز.

6 من سبتمبر 2025
5
حروب العفاريت في Oblivion: عفريت عدواني في كهف مظلم، يصرخ ويهاجم برمح بين الصواعد والسلاسل والقضبان.

حروب العفاريت في لعبة Oblivion: سرقة طوطم، إحداث الفوضى 💥⏳

6 من سبتمبر 2025
4
كيفية اكتشاف ما يؤدي إلى إبطاء نظام Windows على جهاز الكمبيوتر الخاص بك - امرأة تستخدم جهاز كمبيوتر محمولاً يحمل علامة تحذير، وتبحث عن كيفية اكتشاف ما يؤدي إلى إبطاء نظام Windows على جهاز الكمبيوتر الخاص بها لإصلاح البطء وتحسين الأداء.

كيفية اكتشاف ما يؤدي إلى إبطاء نظام التشغيل Windows على جهاز الكمبيوتر الخاص بك: تحقق الآن.

6 من سبتمبر 2025
5
شعار أخبار ماستر تريند

ماستر تريند إنفو هو مصدرك الأمثل للتكنولوجيا: اكتشف الأخبار والدورات التعليمية والتحليلات المتعلقة بالأجهزة والبرامج والألعاب والأجهزة المحمولة والذكاء الاصطناعي. اشترك في نشرتنا الإخبارية ولا تفوت أيًا من أحدث التوجهات.

تابعنا

تصفح حسب الفئة

  • الألعاب
  • الأجهزة
  • الذكاء الاصطناعي
  • الهواتف المحمولة
  • أخبار
  • الشبكات
  • حماية
  • برمجة
  • دروس تعليمية
  • ويندوز

آخر الأخبار

مرشحات الألوان الخاصة بجهاز iPhone - امرأة تحمل جهاز iPhone تُظهر الإعدادات > إمكانية الوصول مع تشغيل مرشحات الألوان (الرمادي، الأحمر/الأخضر، الأزرق/الأصفر).

مرشحات الألوان في iPhone: 3 خطوات لتحسين القراءة الآن 📱✨

7 سبتمبر 2025
Switch 2 مقابل Switch 1 - شخص يحمل جهاز Nintendo Switch 2 المحمول باللون الأبيض مع الشعار على الشاشة، يوضح مقارنة تصميم Switch 2 مقابل Switch 1.

Switch 2 مقابل Switch 1: +FPS وشاشة 120 هرتز.

6 من سبتمبر 2025
  • معلومات عنا
  • أعلن
  • سياسة الخصوصية
  • اتصل بنا

جميع الحقوق محفوظة © ٢٠٢٥ https://mastertrend.info/. جميع العلامات التجارية ملكٌ لأصحابها.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
لا يوجد نتيجة
شاهد جميع النتائج
  • Arabic Arabic
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Swedish Swedish
    • Dutch Dutch
  • الألعاب
  • الأجهزة
  • الذكاء الاصطناعي
  • الهواتف المحمولة
  • أخبار
  • الشبكات
  • حماية
  • برمجة
  • دروس تعليمية
  • ويندوز

جميع الحقوق محفوظة © ٢٠٢٥ https://mastertrend.info/. جميع العلامات التجارية ملكٌ لأصحابها.

معلومات مؤلف التعليق
:wpds_smile::wpds_grin::wpds_wink::wpds_mrgreen::wpds_محايد::wpds_twisted::wpds_arrow::wpds_shock::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_sad::wpds_exclamation::wpds_question::wpds_idea::wpds_همم::wpds_beg::wpds_يا إلهي::wpds_chuckle::wpds_silly::wpds_envy::wpds_shutmouth:
wpDiscuz
ريديتبلو سكايإكسالماستودونأخبار القراصنة
شارك هذا:
الماستودونفي كيهواتساببرقيةرسالة قصيرةأخبار القراصنةخطرسول
مثيل Mastodon الخاص بك