• Tentang Kami
  • Mengumumkan
  • Kebijakan Privasi
  • Hubungi kami
Berita MasterTrend
  • RUMAH
    • BLOG
    • TOKO
  • Tutorial
  • Perangkat keras
  • Permainan
  • Telepon genggam
  • Keamanan
  • Jendela
  • Kecerdasan buatan
  • Perangkat lunak
  • Jaringan
  • Berita
  • Indonesian Indonesian
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Tidak ada hasil
Lihat semua hasil
  • RUMAH
    • BLOG
    • TOKO
  • Tutorial
  • Perangkat keras
  • Permainan
  • Telepon genggam
  • Keamanan
  • Jendela
  • Kecerdasan buatan
  • Perangkat lunak
  • Jaringan
  • Berita
  • Indonesian Indonesian
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Tidak ada hasil
Lihat semua hasil
Berita MasterTrend
Tidak ada hasil
Lihat semua hasil
Awal Keamanan

kebocoran s1ngularity: 2.180 akun dan 7.200 repo.

Wawasan MasterTrend oleh Wawasan MasterTrend
6 September 2025
di dalam Keamanan
Waktu membaca:Bacaan 4 menit
KE KE
0
Kebocoran s1ngularity - Logo GitHub pada latar belakang merah; peringatan keamanan untuk kebocoran s1ngularity yang memengaruhi GitHub dan NPM, membahayakan repositori pengembang.

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
DIBAGIKAN
5
Pemandangan
Bagikan di FacebookBagikan di Twitter

Isi

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. Posting Terkait

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

Bagikan ini:
IndonesiaLinkedInPinterestXBahasa Indonesia: RedditBahasa Indonesia: TumblrLangit biruBenangMembagikan

Artikel Terkait:

  • RDP Lapis Baja: Temukan 10 Langkah Penting!
    RDP Lapis Baja: Temukan 10 Langkah Penting! 🚀
    RDP Lapis Baja: Ikuti daftar periksa 10 langkah komprehensif kami untuk mengamankan RDP Anda di tahun 2025 🔒✨ Lindungi sistem Anda sekarang!
  • Dotfiles di GitHub Kelola Linux dengan mudah dan cepat!
    Dotfiles di GitHub: Kelola Linux dengan cepat dan mudah! 🚀💻
    Dotfile di GitHub menghemat waktu Anda dan memastikan pencadangan yang aman. Kendalikan Linux Anda dengan satu klik! 💻🔄⚡
  • 5 Risiko Mendesak AGI yang Harus Anda Ketahui Sekarang
    AGI: Revolusi teknologi yang akan mengubah hidup Anda 🌐🚀
    AGI: Kecerdasan buatan yang tampak seperti fiksi kini telah hadir. Cari tahu apa artinya bagi Anda. 🤖🌟
  • Pengelola kata sandi
    Pengelola Kata Sandi 🚀: Kunci untuk Menghindari…
    Pengelola kata sandi 🔑 adalah solusi untuk membuat dan menyimpan kata sandi yang aman dengan mudah. Cegah pencurian dengan aplikasi ini!…
  • Agen AI dan Otomasi Gandakan produktivitas Anda x5
    Agen AI dan Otomatisasi: Hemat Waktu dan…
    Agen AI dan otomatisasi merevolusi proses, mengurangi tugas, dan mempercepat hasil untuk bisnis cerdas.
  • CPU setara Intel dan AMD
    CPU setara Intel dan AMD
    Mencari kesetaraan prosesor Intel dan AMD? Temukan semua yang perlu Anda ketahui dalam panduan khusus kami. Pelajari lebih lanjut sekarang!

Posting Terkait

  • ID Peristiwa Kesalahan 1001: Mudah diatasi sekarang! ⚡
  • Privasi AI: Nonaktifkan Gemini dan Copilot dalam 1 klik 🔒
  • Agen AI: Bagaimana Mereka Mengubah Bisnis Anda Saat Ini 💡⚡
  • Microsoft Majorana 1: Merevolusi Komputasi Kuantum! 🚀
  • ChatBIT: Batas Baru AI Militer Tiongkok
  • 🔥 Raspberry Pi Panas: Hindari Kerusakan dengan Trik Ini ⚠️
  • Instal Windows 11 Home tanpa Internet
  • Pencadangan Windows 11: Cegah Kerugian Sekarang! ⚠️✨
Tag: Keamanan siberKonten EvergreenPerangkat lunak berbahaya
Postingan Sebelumnya

Optimalisasi driver grafis: +40 % FPS dengan satu pembaruan.

Publikasi berikutnya

Cara mendeteksi apa yang memperlambat Windows di PC Anda: Periksa sekarang.

Wawasan MasterTrend

Wawasan MasterTrend

Tim editorial kami membagikan ulasan mendalam, tutorial, dan rekomendasi untuk membantu Anda mendapatkan hasil maksimal dari perangkat dan alat digital Anda.

Publikasi berikutnya
Cara Mendeteksi Apa yang Memperlambat Windows di PC Anda - Wanita menggunakan laptop dengan tanda peringatan, meneliti cara mendeteksi apa yang memperlambat Windows di PC-nya untuk memperbaiki kelambatan dan mengoptimalkan kinerja.

Cara mendeteksi apa yang memperlambat Windows di PC Anda: Periksa sekarang.

5 1 memilih
Peringkat Artikel
Berlangganan
Mengakses
Diberitahukan oleh
tamu
tamu
0 Komentar
Lebih kuno
Yang lebih baru Lebih banyak suara
Komentar online
Lihat semua komentar

Tetap Terhubung

  • 976 Penggemar
  • 118 Pengikut
  • 1,4 ribu Pengikut
  • 1,8 ribu Pelanggan

Jangan lewatkan berita teknologi dan permainan terkini.
Kiat eksklusif, panduan cara melakukan sesuatu, dan analisis setiap hari.

Formulir Berlangganan
  • Kecenderungan
  • Komentar
  • Terakhir
Cara menambahkan jam ke desktop Windows 11 Anda: 3 trik yang sangat ampuh!

Cara Menambahkan Jam ke Desktop Windows 11 Anda: Raih Lebih Banyak Hal dalam Hitungan Menit! ⏱️

1 Mei 2025
12 Alternatif Terbaik untuk Lucky Patcher untuk Android

Alternatif Lucky Patcher: 12 Aplikasi yang Lebih Baik dan Mudah! 🎮⚡

12 Mei 2025
Cara menyimpan game di REPO

Cara menyimpan permainan Anda di REPO 🔥 Temukan rahasia agar tidak kehilangan kemajuan

7 Juli 2025
Cara Menggunakan DNS AdGuard di Android pada tahun 2024

Cara Menggunakan DNS AdGuard di Android pada tahun 2025

11 Februari 2025
Fitur Gmail di Android: Hemat Waktu dengan 5 Tips

Fitur Gmail di Android: 5 Trik yang Tidak Anda Ketahui! 📱✨

12
Perbaikan Motherboard - Perbaikan Motherboard

Perbaikan Motherboard Notebook

10
Instal Windows 11 Home tanpa Internet

Instal Windows 11 Home tanpa Internet

10
Cara Mencadangkan Driver di Windows 11/10 dalam 4 Langkah!

Cara Mencadangkan Driver di Windows 11/10: Hindari Kesalahan! 🚨💾

10
Filter Warna iPhone - Wanita memegang iPhone yang menampilkan Pengaturan > Aksesibilitas dengan filter warna diaktifkan (skala abu-abu, merah/hijau, biru/kuning).

Filter Warna iPhone: 3 Langkah untuk Membaca Lebih Baik Sekarang 📱✨

7 September 2025
Switch 2 vs Switch 1 - Seseorang memegang perangkat genggam Nintendo Switch 2 berwarna putih dengan logo di layar, yang menggambarkan perbandingan desain Switch 2 vs Switch 1.

Switch 2 vs Switch 1: +FPS dan layar 120Hz.

6 September 2025
Oblivion Goblin Wars: Goblin agresif di gua gelap, berteriak dan menyerang dengan tombak di antara stalagmit, rantai, dan jeruji.

Oblivion Goblin Wars: Curi Totem, Timbulkan Kekacauan 💥⏳

6 September 2025
Cara Mendeteksi Apa yang Memperlambat Windows di PC Anda - Wanita menggunakan laptop dengan tanda peringatan, meneliti cara mendeteksi apa yang memperlambat Windows di PC-nya untuk memperbaiki kelambatan dan mengoptimalkan kinerja.

Cara mendeteksi apa yang memperlambat Windows di PC Anda: Periksa sekarang.

6 September 2025

Berita Terbaru

Filter Warna iPhone - Wanita memegang iPhone yang menampilkan Pengaturan > Aksesibilitas dengan filter warna diaktifkan (skala abu-abu, merah/hijau, biru/kuning).

Filter Warna iPhone: 3 Langkah untuk Membaca Lebih Baik Sekarang 📱✨

7 September 2025
0
Switch 2 vs Switch 1 - Seseorang memegang perangkat genggam Nintendo Switch 2 berwarna putih dengan logo di layar, yang menggambarkan perbandingan desain Switch 2 vs Switch 1.

Switch 2 vs Switch 1: +FPS dan layar 120Hz.

6 September 2025
5
Oblivion Goblin Wars: Goblin agresif di gua gelap, berteriak dan menyerang dengan tombak di antara stalagmit, rantai, dan jeruji.

Oblivion Goblin Wars: Curi Totem, Timbulkan Kekacauan 💥⏳

6 September 2025
4
Cara Mendeteksi Apa yang Memperlambat Windows di PC Anda - Wanita menggunakan laptop dengan tanda peringatan, meneliti cara mendeteksi apa yang memperlambat Windows di PC-nya untuk memperbaiki kelambatan dan mengoptimalkan kinerja.

Cara mendeteksi apa yang memperlambat Windows di PC Anda: Periksa sekarang.

6 September 2025
6
Logo Berita MasterTrend

MasterTrend Info adalah sumber informasi teknologi terkini: temukan berita, tutorial, dan analisis tentang perangkat keras, perangkat lunak, permainan, perangkat seluler, dan kecerdasan buatan. Berlanggananlah ke buletin kami dan jangan lewatkan tren apa pun.

Ikuti kami

Telusuri Berdasarkan Kategori

  • Permainan
  • Perangkat keras
  • Kecerdasan buatan
  • Telepon genggam
  • Berita
  • Jaringan
  • Keamanan
  • Perangkat lunak
  • Tutorial
  • Jendela

Berita Terbaru

Filter Warna iPhone - Wanita memegang iPhone yang menampilkan Pengaturan > Aksesibilitas dengan filter warna diaktifkan (skala abu-abu, merah/hijau, biru/kuning).

Filter Warna iPhone: 3 Langkah untuk Membaca Lebih Baik Sekarang 📱✨

7 September 2025
Switch 2 vs Switch 1 - Seseorang memegang perangkat genggam Nintendo Switch 2 berwarna putih dengan logo di layar, yang menggambarkan perbandingan desain Switch 2 vs Switch 1.

Switch 2 vs Switch 1: +FPS dan layar 120Hz.

6 September 2025
  • Tentang Kami
  • Mengumumkan
  • Kebijakan Privasi
  • Hubungi kami

Hak Cipta © 2025 https://mastertrend.info/ - Semua hak dilindungi undang-undang. Semua merek dagang adalah milik pemiliknya masing-masing.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Tidak ada hasil
Lihat semua hasil
  • Indonesian Indonesian
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • Permainan
  • Perangkat keras
  • Kecerdasan buatan
  • Telepon genggam
  • Berita
  • Jaringan
  • Keamanan
  • Perangkat lunak
  • Tutorial
  • Jendela

Hak Cipta © 2025 https://mastertrend.info/ - Semua hak dilindungi undang-undang. Semua merek dagang adalah milik pemiliknya masing-masing.

Komentar Info Penulis
:wpds_senyum::wpds_senyum::wpds_mengedipkan mata::wpds_mrgreen::wpds_netral::wpds_twisted::wpds_panah::kejutan wpds::wpds_tidak terhibur::wpds_keren::wpds_jahat::wpds_oops::wpds_razz::wpds_gulungan::wpds_menangis::wpds_eek::wpds_lol::wpds_mad::wpds_sedih::wpds_seru::pertanyaan_wpds::ide_wpds::wpds_hmm::wpds_memohon::wpds_wah::wpds_tertawa::wpds_konyol::wpds_iri::wpds_tutup:
wpDiscuz
Bahasa Indonesia: RedditLangit biruXIkan MasBerita Peretas
Bagikan ini:
Ikan MasVKontakteAda apaTelegramPesan singkatBerita PeretasGarisKurir
Instansi Mastodon Anda