• Chi siamo
  • Annunciare
  • politica sulla riservatezza
  • Contattaci
Notizie MasterTrend
  • CASA
    • BLOG
    • NEGOZIO
  • Tutorial
  • Hardware
  • gioco
  • Cellulari
  • Sicurezza
  • Finestre
  • AI
  • Software
  • Reti
  • Notizia
  • Italian Italian
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Nessun risultato
Vedi tutti i risultati
  • CASA
    • BLOG
    • NEGOZIO
  • Tutorial
  • Hardware
  • gioco
  • Cellulari
  • Sicurezza
  • Finestre
  • AI
  • Software
  • Reti
  • Notizia
  • Italian Italian
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Nessun risultato
Vedi tutti i risultati
Notizie MasterTrend
Nessun risultato
Vedi tutti i risultati
Inizio Sicurezza

Fuga di notizie su s1ngularity: 2.180 account e 7.200 repository.

Approfondimenti di MasterTrend di Approfondimenti di MasterTrend
6 settembre 2025
In Sicurezza
Tempo di lettura:Lettura di 4 minuti
A A
0
Perdita di s1ngularity: logo GitHub su sfondo rosso; avviso di sicurezza per la perdita di s1ngularity che ha interessato GitHub e NPM, mettendo a rischio i repository degli sviluppatori.

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
CONDIVISO
5
Visualizzazioni
Condividi su FacebookCondividi su Twitter

Contenuto

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. Pubblicazioni correlate

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

Condividi questo:
Fai clic su Mi PiaceLinkedInPinterestXRedditTumblrCielo bluDiscussioniCondividere

Articoli correlati:

  • Armored RDP: scopri i 10 passaggi essenziali!
    Armored RDP: scopri i 10 passaggi essenziali! 🚀
    RDP blindato: segui la nostra checklist ultra-completa in 10 passaggi per proteggere il tuo RDP nel 2025 🔒✨ Proteggi il tuo sistema ora!
  • Dotfiles su GitHub Gestisci Linux in modo semplice e veloce!
    Dotfiles su GitHub: gestisci Linux in modo rapido e semplice! 🚀💻
    I dotfile su GitHub ti fanno risparmiare tempo e garantiscono backup sicuri. Controlla il tuo Linux con un solo clic! 💻🔄⚡
  • AGI 5 rischi urgenti che dovresti conoscere ora
    AGI: la rivoluzione tecnologica che ti cambierà la vita 🌐🚀
    AGI: L'intelligenza artificiale che sembrava fantascienza è qui. Scopri cosa significa per te. 🤖🌟
  • Gestori di password
    Gestori di password 🚀: la chiave per evitare...
    I gestori di password 🔑 sono la soluzione per creare e salvare password sicure senza sforzo. Previeni i furti con queste app!
  • Agenti di intelligenza artificiale e automazione moltiplicano la tua produttività x5
    Agenti AI e automazione: risparmia tempo e…
    L'intelligenza artificiale e gli agenti di automazione stanno rivoluzionando i processi, riducendo le attività e accelerando i risultati per le aziende intelligenti.
  • Equivalenze tra CPU Intel e AMD
    Equivalenze tra CPU Intel e AMD
    Stai cercando equivalenti ai processori Intel e AMD? Trovi tutto quello che devi sapere nella nostra guida specializzata. Scopri di più adesso!

Pubblicazioni correlate

  • ID evento errore 1001: facile da risolvere ora! ⚡
  • Privacy AI: disattiva Gemini e Copilot in 1 clic 🔒
  • Agenti AI: come stanno trasformando la tua attività oggi 💡⚡
  • Microsoft Majorana 1: la rivoluzione del calcolo quantistico! 🚀
  • ChatBIT: la nuova frontiera dell'intelligenza artificiale militare cinese
  • 🔥 Raspberry Pi surriscaldato: evita danni con questo trucco ⚠️
  • Installa Windows 11 Home senza Internet
  • Backup di Windows 11: evita subito le perdite! ⚠️✨
Etichette: Sicurezza informaticaContenuto sempreverdeMalware
Post precedente

Ottimizzazione del driver grafico: +40 % FPS con un singolo aggiornamento.

Prossima pubblicazione

Come scoprire cosa rallenta Windows sul tuo PC: verifica ora.

Approfondimenti di MasterTrend

Approfondimenti di MasterTrend

Il nostro team editoriale condivide recensioni approfondite, tutorial e consigli per aiutarti a sfruttare al meglio i tuoi dispositivi e strumenti digitali.

Prossima pubblicazione
Come individuare i problemi che rallentano Windows sul tuo PC - Donna che utilizza un portatile con un cartello di avvertimento, mentre cerca di capire come individuare i problemi che rallentano Windows sul suo PC per risolvere il problema e ottimizzare le prestazioni.

Come scoprire cosa rallenta Windows sul tuo PC: verifica ora.

5 1 votare
Valutazione dell'articolo
Iscriviti
Accesso
Notifica di
ospite
ospite
0 Commenti
più antico
Più recente I più votati
Commenti in linea
Vedi tutti i commenti

Rimani connesso

  • 976 I fan
  • 118 Seguaci
  • 1,4k Seguaci
  • 1,8 mila Abbonati

Non perderti le ultime novità in fatto di tecnologia e gaming.
Ogni giorno suggerimenti esclusivi, guide pratiche e analisi.

Modulo di iscrizione
  • Tendenze
  • Commenti
  • Scorso
Come aggiungere un orologio al desktop di Windows 11: 3 trucchi infallibili!

Come aggiungere un orologio al desktop di Windows 11: fai di più in pochi minuti! ⏱️

1 maggio 2025
Le 12 migliori alternative a Lucky Patcher per Android

Alternative a Lucky Patcher: 12 app migliori e più semplici! 🎮⚡

12 maggio 2025
Come salvare la partita in REPO

Come salvare la tua partita in REPO 🔥 Scopri il segreto per non perdere i progressi

7 luglio 2025
Come utilizzare AdGuard DNS su Android nel 2024

Come utilizzare AdGuard DNS su Android nel 2025

11 febbraio 2025
Funzionalità di Gmail su Android: risparmia tempo con 5 suggerimenti

Funzionalità di Gmail su Android: 5 trucchi che non conoscevi! 📱✨

12
Riparazione Schede Madri - Riparazione Schede Madri

Riparazione della scheda madre del notebook

10
Installa Windows 11 Home senza Internet

Installa Windows 11 Home senza Internet

10
Come eseguire il backup dei driver in Windows 11/10 in 4 passaggi!

Come eseguire il backup dei driver in Windows 11/10: evita errori! 🚨💾

10
Filtri colore iPhone - Donna che tiene in mano un iPhone e mostra Impostazioni > Accessibilità con filtri colore attivati (scala di grigi, rosso/verde, blu/giallo).

Filtri colore per iPhone: 3 passaggi per leggere meglio adesso 📱✨

7 settembre 2025
Switch 2 vs Switch 1 - Persona che tiene in mano una console portatile Nintendo Switch 2 bianca con il logo sullo schermo, a dimostrazione del confronto tra il design di Switch 2 e Switch 1.

Switch 2 vs Switch 1: +FPS e schermo a 120Hz.

6 settembre 2025
Oblivion Goblin Wars: un goblin aggressivo in una caverna buia, che urla e attacca con una lancia tra stalagmiti, catene e sbarre.

Oblivion Goblin Wars: ruba un totem, scatena il caos 💥⏳

6 settembre 2025
Come individuare i problemi che rallentano Windows sul tuo PC - Donna che utilizza un portatile con un cartello di avvertimento, mentre cerca di capire come individuare i problemi che rallentano Windows sul suo PC per risolvere il problema e ottimizzare le prestazioni.

Come scoprire cosa rallenta Windows sul tuo PC: verifica ora.

6 settembre 2025

Notizie recenti

Filtri colore iPhone - Donna che tiene in mano un iPhone e mostra Impostazioni > Accessibilità con filtri colore attivati (scala di grigi, rosso/verde, blu/giallo).

Filtri colore per iPhone: 3 passaggi per leggere meglio adesso 📱✨

7 settembre 2025
6
Switch 2 vs Switch 1 - Persona che tiene in mano una console portatile Nintendo Switch 2 bianca con il logo sullo schermo, a dimostrazione del confronto tra il design di Switch 2 e Switch 1.

Switch 2 vs Switch 1: +FPS e schermo a 120Hz.

6 settembre 2025
6
Oblivion Goblin Wars: un goblin aggressivo in una caverna buia, che urla e attacca con una lancia tra stalagmiti, catene e sbarre.

Oblivion Goblin Wars: ruba un totem, scatena il caos 💥⏳

6 settembre 2025
4
Come individuare i problemi che rallentano Windows sul tuo PC - Donna che utilizza un portatile con un cartello di avvertimento, mentre cerca di capire come individuare i problemi che rallentano Windows sul suo PC per risolvere il problema e ottimizzare le prestazioni.

Come scoprire cosa rallenta Windows sul tuo PC: verifica ora.

6 settembre 2025
6
Logo di MasterTrend News

MasterTrend Info è la tua fonte di riferimento per la tecnologia: scopri notizie, tutorial e analisi su hardware, software, gaming, dispositivi mobili e intelligenza artificiale. Iscriviti alla nostra newsletter per non perderti nessuna tendenza.

Seguici

Sfoglia per categoria

  • gioco
  • Hardware
  • AI
  • Cellulari
  • Notizia
  • Reti
  • Sicurezza
  • Software
  • Tutorial
  • Finestre

Notizie recenti

Filtri colore iPhone - Donna che tiene in mano un iPhone e mostra Impostazioni > Accessibilità con filtri colore attivati (scala di grigi, rosso/verde, blu/giallo).

Filtri colore per iPhone: 3 passaggi per leggere meglio adesso 📱✨

7 settembre 2025
Switch 2 vs Switch 1 - Persona che tiene in mano una console portatile Nintendo Switch 2 bianca con il logo sullo schermo, a dimostrazione del confronto tra il design di Switch 2 e Switch 1.

Switch 2 vs Switch 1: +FPS e schermo a 120Hz.

6 settembre 2025
  • Chi siamo
  • Annunciare
  • politica sulla riservatezza
  • Contattaci

Copyright © 2025 https://mastertrend.info/ - Tutti i diritti riservati. Tutti i marchi commerciali appartengono ai rispettivi proprietari.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Nessun risultato
Vedi tutti i risultati
  • Italian Italian
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • gioco
  • Hardware
  • AI
  • Cellulari
  • Notizia
  • Reti
  • Sicurezza
  • Software
  • Tutorial
  • Finestre

Copyright © 2025 https://mastertrend.info/ - Tutti i diritti riservati. Tutti i marchi commerciali appartengono ai rispettivi proprietari.

Commento Informazioni autore
:wpds_smile::wpds_grin::wpds_wink::wpds_mrgreen::wpds_neutral::wpds_twisted::wpds_arrow::wpds_shock::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_triste::wpds_esclamazione::wpds_question::wpds_idea::wpds_hmm::wpds_beg::wpds_whew::wpds_chuckle::wpds_silly::wpds_invidia::wpds_shutmouth:
wpDiscuz
RedditCielo bluXMastodonteNotizie sugli hacker
Condividi questo:
MastodonteVKMessaggio di WhatsAppTelegrammasmsNotizie sugli hackerLineaMessaggero
La tua istanza Mastodon