• 회사 소개
  • 발표하다
  • 개인 정보 보호 정책
  • 문의하기
마스터트렌드 뉴스
  • 집
    • 블로그
    • 가게
  • 튜토리얼
  • 하드웨어
  • 노름
  • 모바일
  • 보안
  • 윈도우
  • 일체 포함
  • 소프트웨어
  • 네트워크
  • 소식
  • Korean Korean
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
결과 없음
모든 결과 보기
  • 집
    • 블로그
    • 가게
  • 튜토리얼
  • 하드웨어
  • 노름
  • 모바일
  • 보안
  • 윈도우
  • 일체 포함
  • 소프트웨어
  • 네트워크
  • 소식
  • Korean Korean
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
결과 없음
모든 결과 보기
마스터트렌드 뉴스
결과 없음
모든 결과 보기
시작 보안

s1ngularity 유출: 2,180개 계정과 7,200개 리포.

마스터트렌드 인사이트 ~에 의해 마스터트렌드 인사이트
2025년 9월 6일
~에 보안
읽는 시간:4 최소 읽기 시간
에게 에게
0
s1ngularity 유출 - 빨간색 배경에 GitHub 로고; GitHub 및 NPM에 영향을 미치고 개발자 저장소를 위험에 빠뜨리는 s1ngularity 유출에 대한 보안 경고.

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
공유됨
5
조회수
페이스북에 공유하기트위터에 공유하기

내용물

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. 관련 출판물

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

이것을 공유하십시오:
페이스북링크드인핀터레스트엑스레딧텀블러블루스카이스레드공유하다

관련 기사:

  • 기갑 RDP: 10가지 필수 단계를 알아보세요!
    기갑 RDP: 10가지 필수 단계를 알아보세요! 🚀
    Armored RDP: 2025년에 RDP를 보호하기 위한 매우 포괄적인 10단계 체크리스트를 따르세요 🔒✨ 지금 시스템을 보호하세요!
  • GitHub의 Dotfiles로 Linux를 쉽고 빠르게 관리하세요!
    GitHub의 Dotfiles: Linux를 빠르고 쉽게 관리하세요! 🚀💻
    GitHub의 Dotfiles를 사용하면 시간을 절약하고 안전한 백업을 보장할 수 있습니다. 한 번의 클릭으로 Linux를 제어하세요! 💻🔄⚡
  • 지금 알아야 할 AGI 5가지 긴급 위험
    AGI: 당신의 삶을 바꿀 기술 혁명 🌐🚀
    AGI: 소설 속에만 존재하던 인공지능이 여기에 등장했습니다. 이것이 당신에게 어떤 의미인지 알아보세요. 🤖🌟
  • 비밀번호 관리자
    비밀번호 관리자 🚀: 비밀번호 유출을 예방하는 핵심은…
    비밀번호 관리자🔑는 안전한 비밀번호를 손쉽게 생성하고 저장할 수 있는 솔루션입니다. 이 앱들로 비밀번호 도용을 방지하세요!…
  • AI 및 자동화 에이전트로 생산성을 5배로 늘리세요
    AI 에이전트와 자동화: 시간을 절약하고…
    AI와 자동화 에이전트는 스마트 비즈니스를 위해 프로세스를 혁신하고, 작업을 줄이고, 결과를 가속화합니다.
  • Intel 및 AMD CPU의 동등성
    Intel 및 AMD CPU의 동등성
    Intel 및 AMD 프로세서와 동등한 제품을 찾고 계십니까? 전문 가이드에서 알아야 할 모든 것을 찾아보세요. 지금 자세히 알아보세요!

관련 출판물

  • 오류 이벤트 ID 1001: 지금 쉽게 해결하세요! ⚡
  • AI 개인 정보 보호: 한 번의 클릭으로 Gemini와 Copilot을 비활성화하세요 🔒
  • AI 에이전트: 오늘날 비즈니스를 혁신하는 방법 💡⚡
  • Microsoft Majorana 1: 양자 컴퓨팅의 혁신! 🚀
  • ChatBIT: 중국 군사 AI의 새로운 지평
  • 🔥 핫 라즈베리파이: 이 팁으로 손상을 방지하세요 ⚠️
  • 인터넷 없이 Windows 11 Home 설치
  • Windows 11 백업: 지금 당장 손실을 방지하세요! ⚠️✨
태그: 사이버 보안에버그린컨텐츠멀웨어
이전 게시물

그래픽 드라이버 최적화: 단일 업데이트로 +40 % FPS

다음 출판물

PC에서 Windows 속도를 저하시키는 원인을 감지하는 방법: 지금 확인하세요.

마스터트렌드 인사이트

마스터트렌드 인사이트

저희 편집팀은 여러분이 디지털 기기와 도구를 최대한 활용할 수 있도록 심도 있는 리뷰, 튜토리얼, 추천 사항을 공유합니다.

다음 출판물
PC에서 Windows를 느리게 만드는 요소를 감지하는 방법 - 경고 표시가 있는 노트북을 사용하는 여성이 PC에서 Windows를 느리게 만드는 요소를 감지하여 느린 속도를 해결하고 성능을 최적화하는 방법을 조사합니다.

PC에서 Windows 속도를 저하시키는 원인을 감지하는 방법: 지금 확인하세요.

5 1 투표
기사 평가
구독하다
입장
통지하다
손님
손님
0 댓글
가장 오래된
최신 최다 투표
온라인 댓글
모든 댓글 보기

연결 상태를 유지하세요

  • 976 팬들
  • 118 팔로워
  • 1.4k 팔로워
  • 1.8k 구독자

최신 기술과 게임을 놓치지 마세요.
매일 독점적인 팁, 방법 가이드, 분석을 제공합니다.

구독 양식
  • 경향
  • 댓글
  • 마지막
Windows 11 바탕 화면에 시계를 추가하는 방법: 확실한 3가지 요령!

Windows 11 바탕 화면에 시계를 추가하는 방법: 몇 분 안에 더 많은 작업을 완료하세요! ⏱️

2025년 5월 1일
안드로이드용 Lucky Patcher의 12가지 최고의 대안

Lucky Patcher 대체 앱: 더 뛰어나고 사용하기 쉬운 12가지 앱! 🎮⚡

2025년 5월 12일
REPO에서 게임을 저장하는 방법

REPO에서 게임을 저장하는 방법 🔥 진행 상황을 잃지 않는 비결을 알아보세요

2025년 7월 7일
2024년 Android에서 AdGuard DNS를 사용하는 방법

2025년 Android에서 AdGuard DNS를 사용하는 방법

2025년 11월
Android에서 Gmail 기능: 5가지 팁으로 시간 절약

Android에서 사용하는 Gmail 기능: 여러분이 몰랐던 5가지 요령! 📱✨

12
마더보드 수리 - 마더보드 수리

노트북 마더보드 수리

10
인터넷 없이 Windows 11 Home 설치

인터넷 없이 Windows 11 Home 설치

10
4단계로 Windows 11/10에서 드라이버를 백업하는 방법!

Windows 11/10에서 드라이버를 백업하는 방법: 실수를 방지하세요! 🚨💾

10
iPhone 색상 필터 - iPhone을 들고 있는 여성이 설정 > 접근성에서 색상 필터(회색조, 빨간색/녹색, 파란색/노란색)를 켠 모습입니다.

iPhone 색상 필터: 지금 바로 더 나은 독서를 위한 3단계 📱✨

2025년 9월 7일
Switch 2 대 Switch 1 - 로고가 화면에 표시된 흰색 Nintendo Switch 2 핸드헬드를 들고 있는 사람. Switch 2와 Switch 1의 디자인을 비교한 그림입니다.

스위치 2 대 스위치 1: +FPS 및 120Hz 화면.

2025년 9월 6일
오블리비언 고블린 전쟁: 어두운 동굴 속에 있는 공격적인 고블린이 종유석, 사슬, 막대 사이에서 비명을 지르며 창을 휘두릅니다.

오블리비언 고블린 전쟁: 토템을 훔쳐 혼란을 일으키세요 💥⏳

2025년 9월 6일
PC에서 Windows를 느리게 만드는 요소를 감지하는 방법 - 경고 표시가 있는 노트북을 사용하는 여성이 PC에서 Windows를 느리게 만드는 요소를 감지하여 느린 속도를 해결하고 성능을 최적화하는 방법을 조사합니다.

PC에서 Windows 속도를 저하시키는 원인을 감지하는 방법: 지금 확인하세요.

2025년 9월 6일

최근 뉴스

iPhone 색상 필터 - iPhone을 들고 있는 여성이 설정 > 접근성에서 색상 필터(회색조, 빨간색/녹색, 파란색/노란색)를 켠 모습입니다.

iPhone 색상 필터: 지금 바로 더 나은 독서를 위한 3단계 📱✨

2025년 9월 7일
0
Switch 2 대 Switch 1 - 로고가 화면에 표시된 흰색 Nintendo Switch 2 핸드헬드를 들고 있는 사람. Switch 2와 Switch 1의 디자인을 비교한 그림입니다.

스위치 2 대 스위치 1: +FPS 및 120Hz 화면.

2025년 9월 6일
5
오블리비언 고블린 전쟁: 어두운 동굴 속에 있는 공격적인 고블린이 종유석, 사슬, 막대 사이에서 비명을 지르며 창을 휘두릅니다.

오블리비언 고블린 전쟁: 토템을 훔쳐 혼란을 일으키세요 💥⏳

2025년 9월 6일
4
PC에서 Windows를 느리게 만드는 요소를 감지하는 방법 - 경고 표시가 있는 노트북을 사용하는 여성이 PC에서 Windows를 느리게 만드는 요소를 감지하여 느린 속도를 해결하고 성능을 최적화하는 방법을 조사합니다.

PC에서 Windows 속도를 저하시키는 원인을 감지하는 방법: 지금 확인하세요.

2025년 9월 6일
6
마스터트렌드 뉴스 로고

MasterTrend Info는 기술 관련 최신 소식을 제공하는 최고의 플랫폼입니다. 하드웨어, 소프트웨어, 게임, 모바일 기기, 인공지능 관련 뉴스, 튜토리얼, 분석 자료를 확인해 보세요. 뉴스레터를 구독하고 최신 트렌드를 놓치지 마세요.

우리를 따르세요

카테고리별로 찾아보기

  • 노름
  • 하드웨어
  • 일체 포함
  • 모바일
  • 소식
  • 네트워크
  • 보안
  • 소프트웨어
  • 튜토리얼
  • 윈도우

최근 뉴스

iPhone 색상 필터 - iPhone을 들고 있는 여성이 설정 > 접근성에서 색상 필터(회색조, 빨간색/녹색, 파란색/노란색)를 켠 모습입니다.

iPhone 색상 필터: 지금 바로 더 나은 독서를 위한 3단계 📱✨

2025년 9월 7일
Switch 2 대 Switch 1 - 로고가 화면에 표시된 흰색 Nintendo Switch 2 핸드헬드를 들고 있는 사람. Switch 2와 Switch 1의 디자인을 비교한 그림입니다.

스위치 2 대 스위치 1: +FPS 및 120Hz 화면.

2025년 9월 6일
  • 회사 소개
  • 발표하다
  • 개인 정보 보호 정책
  • 문의하기

저작권 © 2025 https://mastertrend.info/ - 모든 권리 보유. 모든 상표는 해당 소유자의 자산입니다.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
결과 없음
모든 결과 보기
  • Korean Korean
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • 노름
  • 하드웨어
  • 일체 포함
  • 모바일
  • 소식
  • 네트워크
  • 보안
  • 소프트웨어
  • 튜토리얼
  • 윈도우

저작권 © 2025 https://mastertrend.info/ - 모든 권리 보유. 모든 상표는 해당 소유자의 자산입니다.

댓글 작성자 정보
:wpds_스마일::wpds_grin::wpds_wink::wpds_mrgreen::wpds_neutral::wpds_뒤틀림::wpds_arrow::wpds_쇼크::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_롤::wpds_울음::wpds_eek::wpds_lol::wpds_mad::wpds_슬픔::wpds_느낌표::wpds_질문::wpds_아이디어::wpds_hmm::wpds_beg::wpds_휴::wpds_chuckle::wpds_silly::wpds_envy::wpds_닥쳐:
wpDiscuz
레딧블루스카이엑스마스토돈해커 뉴스
이것을 공유하십시오:
마스토돈비케이(VK)왓츠앱전보문자 메시지해커 뉴스선전령
귀하의 마스토돈 인스턴스