• Sobre Nosotros
  • Anunciar
  • Política de privacidad
  • Contacta con nosotros
MasterTrend News
  • HOME
    • BLOG
    • TIENDA
  • Tutoriales
  • Hardware
  • Gaming
  • Móviles
  • Seguridad
  • Windows
  • IA
  • Software
  • Redes
  • Novedades
  • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Sin resultado
Ver todos los resultados
  • HOME
    • BLOG
    • TIENDA
  • Tutoriales
  • Hardware
  • Gaming
  • Móviles
  • Seguridad
  • Windows
  • IA
  • Software
  • Redes
  • Novedades
  • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Sin resultado
Ver todos los resultados
MasterTrend News
Sin resultado
Ver todos los resultados
Inicio Seguridad

Filtración s1ngularity: 2.180 cuentas y 7.200 repos.

MasterTrend Insights por MasterTrend Insights
6 de septiembre de 2025
en Seguridad
Tiempo de lectura:Lectura de 4 minutos
A A
0
Filtración s1ngularity - Logotipo de GitHub sobre fondo rojo; alerta de seguridad por la filtración s1ngularity que afecta a GitHub y NPM y pone en riesgo repositorios de desarrolladores.

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
COMPARTIDOS
5
Vistas
Share on FacebookShare on Twitter

Contents

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. Publicaciones Relacionadas

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

Comparte esto:
FacebookLinkedInPinterestXRedditTumblrBlueskyThreadsShare

Artículos Relacionados:

  • RDP Blindado: ¡Descubre los 10 Pasos Esenciales!
    RDP Blindado: ¡Descubre los 10 Pasos Esenciales! 🚀
    RDP Blindado: Sigue nuestro checklist ultra-completo de 10 pasos para asegurar tu RDP en 2025 🔒✨ ¡Protege tu sistema ahora!
  • Dotfiles en GitHub ¡Gestiona Linux fácil y rápido!
    Dotfiles en GitHub: ¡Gestiona Linux fácil y rápido! 🚀💻
    Dotfiles en GitHub te ahorran tiempo y garantizan respaldo seguro. ¡Controla tu Linux con un solo clic! 💻🔄⚡
  • AGI 5 riesgos urgentes que debes conocer ya
    AGI: la revolución tecnológica que cambiará tu vida 🌐🚀
    AGI: la inteligencia artificial que parecía ficción ya está aquí, descubre qué implica para ti. 🤖🌟
  • Gestores de contraseñas
    Gestores de contraseñas 🚀: La clave para evitar…
    Gestores de contraseñas 🔑 son la solución para crear y guardar claves seguras sin esfuerzo. ¡Evita robos con estas apps!…
  • Agentes de IA y automatización Multiplica tu productividad x5
    Agentes de IA y automatización: ¡Ahorra tiempo y…
    Agentes de IA y automatización están revolucionando procesos, reducen tareas y aceleran resultados para empresas inteligentes ⚡🤖
  • Equivalencias de CPUs Intel y AMD
    Equivalencias de CPUs Intel y AMD
    ¿Buscas equivalencias de procesadores Intel y AMD? Encuentra todo lo que necesitas saber en nuestra guía especializada. ¡Aprende más ahora!

Publicaciones Relacionadas

  • Error ID de Evento 1001: Resuelve fácil ahora! ⚡
  • Privacidad IA: Desactiva Gemini y Copilot en 1 click 🔒
  • Agentes de IA: cómo transforman tu negocio hoy mismo 💡⚡
  • Microsoft Majorana 1: ¡Revoluciona la computación cuántica! 🚀
  • ChatBIT: La Nueva Frontera de la IA Militar China
  • 🔥 Raspberry Pi Caliente: Evita Daños Con Este Truco ⚠️
  • Instalar Windows 11 Home sin Internet
  • Copia de seguridad Windows 11: ¡Evita pérdidas ahora! ⚠️✨
Etiquetas: CiberSeguridadEvergreenContentMalware
Publicación Anterior

Optimización del controlador de gráficos: +40 % de FPS con una sola actualización.

Próxima publicación

Cómo detectar qué ralentiza Windows en tu PC: Revisa ya.

MasterTrend Insights

MasterTrend Insights

Nuestro equipo editorial comparte análisis profundos, tutoriales y recomendaciones para que aproveches al máximo tus dispositivos y herramientas digitales.

Próxima publicación
Cómo detectar qué ralentiza Windows en tu PC - Mujer usando un portátil con señal de alerta, investigando cómo detectar qué ralentiza Windows en su PC para solucionar la lentitud y optimizar el rendimiento.

Cómo detectar qué ralentiza Windows en tu PC: Revisa ya.

5 1 votar
Article Rating
Suscribirse
Acceso
Notificar de
guest
guest
0 Comments
Más antiguo
El más nuevo Más votado
Comentarios en línea
Ver todos los comentarios

Mantente Conectado

  • 976 Fans
  • 118 Seguidores
  • 1.4k Seguidores
  • 1.8k Suscriptores

No te pierdas lo último en tecnología y gaming.
Tips exclusivos, guías prácticas y análisis cada dia.

Subscription Form
  • Tendencias
  • Comentarios
  • Último
Cómo añadir reloj en el escritorio de Windows 11: ¡3 trucos infalibles!

Cómo añadir reloj en el escritorio de Windows 11: ¡Logra más en minutos! ⏱️

1 de mayo de 2025
12 Mejores Alternativas a Lucky Patcher para Android

Alternativas a Lucky Patcher: ¡12 apps mejores y fáciles! 🎮⚡

12 de mayo de 2025
Cómo guardar partida en REPO

Cómo guardar partida en REPO 🔥 Descubre el secreto para no perder progreso

7 de julio de 2025
Cómo utilizar AdGuard DNS en Android en 2024

Cómo utilizar AdGuard DNS en Android en 2025

11 de febrero de 2025
Funciones de Gmail en Android: Ahorra tiempo con 5 tips

Funciones de Gmail en Android: ¡5 trucos que no conocías! 📱✨

12
Reparacion de placas madres - Reparar MotherBoards

Reparacion de Placas Madres de Notebooks

10
Instalar Windows 11 Home sin Internet

Instalar Windows 11 Home sin Internet

10
Cómo respaldar controladores en Windows 11/10 ¡en 4 pasos!

Cómo respaldar controladores en Windows 11/10 ¡Evita errores! 🚨💾

10
Filtros de color iPhone - Mujer sosteniendo un iPhone que muestra Ajustes > Accesibilidad con los filtros de color activados (escala de grises, rojo/verde, azul/amarillo).

Filtros de color iPhone: 3 pasos para leer mejor ya 📱✨

7 de septiembre de 2025
Switch 2 vs Switch 1 - Person holding a white Nintendo Switch 2 handheld with the logo on screen, illustrating a Switch 2 vs Switch 1 design comparison.

Switch 2 vs Switch 1: +FPS y pantalla 120Hz.

6 de septiembre de 2025
Guerras goblin de Oblivion: goblin agresivo en cueva oscura, gritando y atacando con lanza entre estalagmitas, cadenas y barrotes.

Guerras goblin de Oblivion: roba un tótem, causa caos 💥⏳

6 de septiembre de 2025
Cómo detectar qué ralentiza Windows en tu PC - Mujer usando un portátil con señal de alerta, investigando cómo detectar qué ralentiza Windows en su PC para solucionar la lentitud y optimizar el rendimiento.

Cómo detectar qué ralentiza Windows en tu PC: Revisa ya.

6 de septiembre de 2025

Noticias Recientes

Filtros de color iPhone - Mujer sosteniendo un iPhone que muestra Ajustes > Accesibilidad con los filtros de color activados (escala de grises, rojo/verde, azul/amarillo).

Filtros de color iPhone: 3 pasos para leer mejor ya 📱✨

7 de septiembre de 2025
4
Switch 2 vs Switch 1 - Person holding a white Nintendo Switch 2 handheld with the logo on screen, illustrating a Switch 2 vs Switch 1 design comparison.

Switch 2 vs Switch 1: +FPS y pantalla 120Hz.

6 de septiembre de 2025
5
Guerras goblin de Oblivion: goblin agresivo en cueva oscura, gritando y atacando con lanza entre estalagmitas, cadenas y barrotes.

Guerras goblin de Oblivion: roba un tótem, causa caos 💥⏳

6 de septiembre de 2025
4
Cómo detectar qué ralentiza Windows en tu PC - Mujer usando un portátil con señal de alerta, investigando cómo detectar qué ralentiza Windows en su PC para solucionar la lentitud y optimizar el rendimiento.

Cómo detectar qué ralentiza Windows en tu PC: Revisa ya.

6 de septiembre de 2025
6
MasterTrend News logo

MasterTrend Info es tu fuente de referencia en tecnología: descubre novedades, tutoriales y análisis sobre hardware, software, gaming, móviles e inteligencia artificial. Suscríbete a nuestro boletín y no te pierdas ninguna tendencia.

Síguenos

Browse by Category

  • Gaming
  • Hardware
  • IA
  • Móviles
  • Novedades
  • Redes
  • Seguridad
  • Software
  • Tutoriales
  • Windows

Recent News

Filtros de color iPhone - Mujer sosteniendo un iPhone que muestra Ajustes > Accesibilidad con los filtros de color activados (escala de grises, rojo/verde, azul/amarillo).

Filtros de color iPhone: 3 pasos para leer mejor ya 📱✨

7 de septiembre de 2025
Switch 2 vs Switch 1 - Person holding a white Nintendo Switch 2 handheld with the logo on screen, illustrating a Switch 2 vs Switch 1 design comparison.

Switch 2 vs Switch 1: +FPS y pantalla 120Hz.

6 de septiembre de 2025
  • Sobre Nosotros
  • Anunciar
  • Política de privacidad
  • Contacta con nosotros

Copyright © 2025 https://mastertrend.info/ - Reservados todos los derechos. Todas las marcas registradas son propiedad de sus respectivos dueños.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Sin resultado
Ver todos los resultados
  • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • Gaming
  • Hardware
  • IA
  • Móviles
  • Novedades
  • Redes
  • Seguridad
  • Software
  • Tutoriales
  • Windows

Copyright © 2025 https://mastertrend.info/ - Reservados todos los derechos. Todas las marcas registradas son propiedad de sus respectivos dueños.

Comment Author Info
:wpds_smile::wpds_grin::wpds_wink::wpds_mrgreen::wpds_neutral::wpds_twisted::wpds_arrow::wpds_shock::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_sad::wpds_exclamation::wpds_question::wpds_idea::wpds_hmm::wpds_beg::wpds_whew::wpds_chuckle::wpds_silly::wpds_envy::wpds_shutmouth:
wpDiscuz
RedditBlueskyXMastodonHacker News
Comparte esto:
MastodonVKWhatsAppTelegramSMSHacker NewsLineMessenger
Su instancia de Mastodon