• O nas
  • Ogłaszać
  • Polityka prywatności
  • Skontaktuj się z nami
Wiadomości MasterTrend
  • DOM
    • BLOG
    • SKLEP
  • Samouczki
  • Sprzęt komputerowy
  • Hazard
  • Telefony komórkowe
  • Bezpieczeństwo
  • Okna
  • Sztuczna inteligencja
  • Oprogramowanie
  • Sieci
  • Aktualności
  • Polish Polish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Brak wyniku
Zobacz wszystkie wyniki
  • DOM
    • BLOG
    • SKLEP
  • Samouczki
  • Sprzęt komputerowy
  • Hazard
  • Telefony komórkowe
  • Bezpieczeństwo
  • Okna
  • Sztuczna inteligencja
  • Oprogramowanie
  • Sieci
  • Aktualności
  • Polish Polish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
Brak wyniku
Zobacz wszystkie wyniki
Wiadomości MasterTrend
Brak wyniku
Zobacz wszystkie wyniki
Start Bezpieczeństwo

Wyciek s1ngularity: 2180 kont i 7200 repozytoriów.

Wgląd w MasterTrend przez Wgląd w MasterTrend
6 września 2025
W Bezpieczeństwo
Czas czytania:Lectura de 4 minutos
DO DO
0
Wyciek s1ngularity - logo GitHub na czerwonym tle; alert bezpieczeństwa dotyczący wycieku s1ngularity wpływającego na GitHub i NPM, narażającego repozytoria programistów na ryzyko.

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
WSPÓLNY
5
Widoki
Udostępnij na FacebookuUdostępnij na Twitterze

Zawartość

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. Powiązane posty

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

Podziel się tym:
FacebookLinkedInPinterestXRedditTumblrBłękitne nieboWątkiUdział

Powiązane artykuły:

  • Armored RDP: Odkryj 10 niezbędnych kroków!
    Armored RDP: Odkryj 10 niezbędnych kroków! 🚀
    Armored RDP: Skorzystaj z naszej kompleksowej 10-etapowej listy kontrolnej, aby zabezpieczyć swój RDP w 2025 roku 🔒✨ Zabezpiecz swój system już dziś!
  • Dotfiles na GitHub Zarządzaj Linuksem łatwo i szybko!
    Dotfiles na GitHub: Zarządzaj Linuksem szybko i łatwo! 🚀💻
    Pliki Dotfiles w serwisie GitHub oszczędzają Twój czas i gwarantują bezpieczne kopie zapasowe. Kontroluj swojego Linuxa jednym kliknięciem! 💻🔄⚡
  • 5 pilnych zagrożeń AGI, o których powinieneś wiedzieć już teraz
    AGI: Rewolucja technologiczna, która zmieni Twoje życie 🌐🚀
    AGI: Sztuczna inteligencja, która wydawała się fikcją, jest już dostępna. Dowiedz się, co to dla Ciebie oznacza. 🤖🌟
  • Menedżerowie haseł
    Menedżerowie haseł 🚀: Klucz do unikania…
    Menedżerowie haseł 🔑 to rozwiązanie umożliwiające łatwe tworzenie i zapisywanie bezpiecznych haseł. Zapobiegaj kradzieży dzięki tym aplikacjom!…
  • Agenci AI i automatyzacji Zwiększ swoją produktywność x5
    Agenci AI i automatyzacja: oszczędzaj czas i…
    Sztuczna inteligencja i agenci automatyzacji rewolucjonizują procesy, zmniejszają liczbę zadań i przyspieszają osiąganie wyników dla inteligentnych firm.
  • Odpowiedniki procesorów Intel i AMD
    Odpowiedniki procesorów Intel i AMD
    Szukasz odpowiedników procesorów Intel i AMD? Wszystko, co musisz wiedzieć, znajdziesz w naszym specjalistycznym przewodniku. Dowiedz się więcej już teraz!

Powiązane posty

  • Identyfikator zdarzenia Błąd 1001: Łatwo rozwiąż teraz! ⚡
  • Prywatność AI: Wyłącz Gemini i Copilot jednym kliknięciem 🔒
  • Agenci AI: Jak zmieniają Twój biznes już dziś 💡⚡
  • Microsoft Majorana 1: Rewolucja w komputerach kwantowych! 🚀
  • ChatBIT: Nowa granica chińskiej wojskowej sztucznej inteligencji
  • 🔥 Hot Raspberry Pi: Unikaj uszkodzeń dzięki tej sztuczce ⚠️
  • Instalacja systemu Windows 11 Home bez Internetu
  • Kopia zapasowa systemu Windows 11: zapobiegaj stratom już teraz! ⚠️✨
Tagi: CyberbezpieczeństwoTreść EvergreenZłośliwe oprogramowanie
Poprzedni post

Optymalizacja sterownika graficznego: +40 % FPS po jednej aktualizacji.

Następna publikacja

Jak wykryć, co spowalnia system Windows na Twoim komputerze: Sprawdź teraz.

Wgląd w MasterTrend

Wgląd w MasterTrend

Nasz zespół redakcyjny udostępnia szczegółowe recenzje, poradniki i zalecenia, które pomogą Ci w pełni wykorzystać możliwości urządzeń i narzędzi cyfrowych.

Następna publikacja
Jak wykryć, co spowalnia system Windows na komputerze - Kobieta korzysta z laptopa ze znakiem ostrzegawczym i szuka sposobu na wykrycie, co spowalnia system Windows na jej komputerze, aby rozwiązać problem spowolnienia i zoptymalizować wydajność.

Jak wykryć, co spowalnia system Windows na Twoim komputerze: Sprawdź teraz.

5 1 głosować
Ocena artykułu
Subskrybuj
Dostęp
Powiadomienie o
gość
gość
0 Uwagi
Więcej starożytności
Najnowszy Więcej głosów
Komentarze online
Zobacz wszystkie komentarze

Pozostań w kontakcie

  • 976 Fani
  • 118 Świta
  • 1,4 tys. Świta
  • 1,8 tys. Subskrybenci

Nie przegap najnowszych technologii i gier.
Ekskluzywne porady, przewodniki i analizy każdego dnia.

Formularz subskrypcji
  • Tendencje
  • Uwagi
  • Ostatni
Jak dodać zegar do pulpitu systemu Windows 11: 3 niezawodne sztuczki!

Jak dodać zegar do pulpitu systemu Windows 11: osiągnij więcej w ciągu kilku minut! ⏱️

1 maja 2025 r.
12 najlepszych alternatyw dla Lucky Patcher na Androida

Alternatywy dla Lucky Patcher: 12 lepszych i łatwiejszych w obsłudze aplikacji! 🎮⚡

12 maja 2025 r.
Jak zapisać grę w REPO

Jak zapisać grę w REPO 🔥 Odkryj sekret, aby nie stracić postępów

7 Lipiec 2025
Jak korzystać z AdGuard DNS na Androidzie w 2024 roku

Jak korzystać z AdGuard DNS na Androidzie w 2025 roku

11 lutego 2025 r.
Funkcje Gmaila na Androidzie: Oszczędzaj czas dzięki 5 wskazówkom

Funkcje Gmaila na Androidzie: 5 sztuczek, o których nie wiedziałeś! 📱✨

12
Naprawa płyty głównej - Naprawa płyty głównej

Naprawa płyty głównej notebooka

10
Instalacja systemu Windows 11 Home bez Internetu

Instalacja systemu Windows 11 Home bez Internetu

10
Jak wykonać kopię zapasową sterowników w systemie Windows 11/10 w 4 krokach!

Jak wykonać kopię zapasową sterowników w systemie Windows 11/10: unikaj błędów! 🚨💾

10
Filtry kolorów iPhone'a – kobieta trzymająca iPhone'a z włączonymi filtrami kolorów (skala szarości, czerwony/zielony, niebieski/żółty).

Filtry kolorów na iPhone'a: 3 kroki do lepszego czytania już teraz 📱✨

7 września 2025
Switch 2 kontra Switch 1 – osoba trzymająca białą konsolę przenośną Nintendo Switch 2 z logo na ekranie, ilustrująca porównanie designu Switch 2 i Switch 1.

Switch 2 kontra Switch 1: +FPS i ekran 120 Hz.

6 września 2025
Oblivion Goblin Wars: Agresywny goblin w ciemnej jaskini, krzyczący i atakujący włócznią pośród stalagmitów, łańcuchów i krat.

Oblivion Goblin Wars: Ukradnij totem, siej chaos 💥⏳

6 września 2025
Jak wykryć, co spowalnia system Windows na komputerze - Kobieta korzysta z laptopa ze znakiem ostrzegawczym i szuka sposobu na wykrycie, co spowalnia system Windows na jej komputerze, aby rozwiązać problem spowolnienia i zoptymalizować wydajność.

Jak wykryć, co spowalnia system Windows na Twoim komputerze: Sprawdź teraz.

6 września 2025

Najnowsze wiadomości

Filtry kolorów iPhone'a – kobieta trzymająca iPhone'a z włączonymi filtrami kolorów (skala szarości, czerwony/zielony, niebieski/żółty).

Filtry kolorów na iPhone'a: 3 kroki do lepszego czytania już teraz 📱✨

7 września 2025
0
Switch 2 kontra Switch 1 – osoba trzymająca białą konsolę przenośną Nintendo Switch 2 z logo na ekranie, ilustrująca porównanie designu Switch 2 i Switch 1.

Switch 2 kontra Switch 1: +FPS i ekran 120 Hz.

6 września 2025
5
Oblivion Goblin Wars: Agresywny goblin w ciemnej jaskini, krzyczący i atakujący włócznią pośród stalagmitów, łańcuchów i krat.

Oblivion Goblin Wars: Ukradnij totem, siej chaos 💥⏳

6 września 2025
4
Jak wykryć, co spowalnia system Windows na komputerze - Kobieta korzysta z laptopa ze znakiem ostrzegawczym i szuka sposobu na wykrycie, co spowalnia system Windows na jej komputerze, aby rozwiązać problem spowolnienia i zoptymalizować wydajność.

Jak wykryć, co spowalnia system Windows na Twoim komputerze: Sprawdź teraz.

6 września 2025
5
Logotyp wiadomości MasterTrend

MasterTrend Info to Twoje źródło wiedzy o technologii: odkryj wiadomości, samouczki i analizy dotyczące sprzętu, oprogramowania, gier, urządzeń mobilnych i sztucznej inteligencji. Zapisz się do naszego newslettera i nie przegap żadnych trendów.

Obserwuj nas

Przeglądaj według kategorii

  • Hazard
  • Sprzęt komputerowy
  • Sztuczna inteligencja
  • Telefony komórkowe
  • Aktualności
  • Sieci
  • Bezpieczeństwo
  • Oprogramowanie
  • Samouczki
  • Okna

Najnowsze wiadomości

Filtry kolorów iPhone'a – kobieta trzymająca iPhone'a z włączonymi filtrami kolorów (skala szarości, czerwony/zielony, niebieski/żółty).

Filtry kolorów na iPhone'a: 3 kroki do lepszego czytania już teraz 📱✨

7 września 2025
Switch 2 kontra Switch 1 – osoba trzymająca białą konsolę przenośną Nintendo Switch 2 z logo na ekranie, ilustrująca porównanie designu Switch 2 i Switch 1.

Switch 2 kontra Switch 1: +FPS i ekran 120 Hz.

6 września 2025
  • O nas
  • Ogłaszać
  • Polityka prywatności
  • Skontaktuj się z nami

Copyright © 2025 https://mastertrend.info/ - Wszelkie prawa zastrzeżone. Wszystkie znaki towarowe są własnością ich właścicieli.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Brak wyniku
Zobacz wszystkie wyniki
  • Polish Polish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • Hazard
  • Sprzęt komputerowy
  • Sztuczna inteligencja
  • Telefony komórkowe
  • Aktualności
  • Sieci
  • Bezpieczeństwo
  • Oprogramowanie
  • Samouczki
  • Okna

Copyright © 2025 https://mastertrend.info/ - Wszelkie prawa zastrzeżone. Wszystkie znaki towarowe są własnością ich właścicieli.

Komentarz Informacje o autorze
:wpds_smile::wpds_grin::wpds_mrugnięcie::wpds_mrgreen::wpds_neutral::wpds_twisted::wpds_arrow::wpds_shock::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_sad::wpds_wykrzyknienie::wpds_pytanie::wpds_idea::wpds_hmm::wpds_początek::wpds_uff::wpds_chuckle::wpds_silly::wpds_envy::wpds_shutmouth:
wpDiscuz
RedditBłękitne nieboXMastodontWiadomości hakerskie
Podziel się tym:
MastodontWKWhatsAppTelegramSMSWiadomości hakerskieLiniaPosłaniec
Twoja instancja Mastodon