• Om oss
  • Meddela
  • Integritetspolicy
  • Kontakta oss
MasterTrend Nyheter
  • HEM
    • BLOGG
    • LAGRA
  • Handledningar
  • Hårdvara
  • Spel
  • Mobiltelefoner
  • Säkerhet
  • Fönster
  • AI
  • Programvara
  • Nätverk
  • Nyheter
  • Swedish Swedish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Dutch Dutch
Inget resultat
Se alla resultat
  • HEM
    • BLOGG
    • LAGRA
  • Handledningar
  • Hårdvara
  • Spel
  • Mobiltelefoner
  • Säkerhet
  • Fönster
  • AI
  • Programvara
  • Nätverk
  • Nyheter
  • Swedish Swedish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Dutch Dutch
Inget resultat
Se alla resultat
MasterTrend Nyheter
Inget resultat
Se alla resultat
Start Säkerhet

s1ngularity-läcka: 2 180 konton och 7 200 repo-platser.

MasterTrend Insights av MasterTrend Insights
6 september 2025
i Säkerhet
Lästid:4 minuters föreläsning
TILL TILL
0
s1ngularity-läcka - GitHub-logotyp mot röd bakgrund; säkerhetsvarning för s1ngularity-läckan som påverkar GitHub och NPM och utsätter utvecklardatabaser för risk.

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
DELAD
5
Visningar
Dela på FacebookDela på Twitter

Innehåll

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. Relaterade inlägg

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

Dela detta:
FacebookLinkedInPinterestXRedditTumblrBlå himmelTrådarDela

Relaterade artiklar:

  • Armored RDP: Upptäck de 10 viktiga stegen!
    Armored RDP: Upptäck de 10 viktiga stegen! 🚀
    Bepansrad RDP: Följ vår omfattande checklista i 10 steg för att säkra din RDP år 2025 🔒✨ Skydda ditt system nu!
  • Dotfiles på GitHub Hantera Linux enkelt och snabbt!
    Dotfiles på GitHub: Hantera Linux snabbt och enkelt! 🚀💻
    Dotfiles på GitHub sparar tid och säkerställer säkra säkerhetskopior. Styr din Linux med ett enda klick! 💻🔄⚡
  • AGI 5 akuta risker du bör känna till nu
    AGI: Den teknologiska revolutionen som kommer att förändra ditt liv 🌐🚀
    AGI: Den artificiella intelligensen som verkade vara fiktion är här. Ta reda på vad den betyder för dig. 🤖🌟
  • Lösenordshanterare
    Lösenordshanterare 🚀: Nyckeln till att undvika…
    Lösenordshanterare 🔑 är lösningen för att enkelt skapa och spara säkra lösenord. Förhindra stöld med dessa appar!…
  • AI och automatiseringsagenter mångdubblar din produktivitet
    AI-agenter och automatisering: Spara tid och…
    AI och automatiseringsagenter revolutionerar processer, minskar arbetsuppgifter och accelererar resultat för smarta företag.
  • Intel- och AMD-processormotsvarigheter
    Intel- och AMD-processormotsvarigheter
    Letar du efter motsvarigheter mellan Intel- och AMD-processorer? Hitta allt du behöver veta i vår specialiserade guide. Läs mer nu!

Relaterade inlägg

  • Händelse-ID-fel 1001: Åtgärda enkelt nu! ⚡
  • AI-sekretess: Inaktivera Gemini och Copilot med ett klick 🔒
  • AI-agenter: Hur de transformerar ditt företag idag 💡⚡
  • Microsoft Majorana 1: Revolutionerar kvantberäkning! 🚀
  • ChatBIT: Den nya gränsen för kinesisk militär AI
  • 🔥 Hot Raspberry Pi: Undvik skador med det här tricket ⚠️
  • Installera Windows 11 Home utan internet
  • Windows 11-säkerhetskopiering: Förhindra förluster nu! ⚠️✨
Taggar: CybersäkerhetEvergreenContentSkadlig programvara
Föregående inlägg

Optimering av grafikdrivrutiner: +40 % FPS med en enda uppdatering.

Nästa publikation

Så här upptäcker du vad som saktar ner Windows på din dator: Kontrollera nu.

MasterTrend Insights

MasterTrend Insights

Vårt redaktionsteam delar med sig av djupgående recensioner, handledningar och rekommendationer som hjälper dig att få ut det mesta av dina digitala enheter och verktyg.

Nästa publikation
Hur man upptäcker vad som saktar ner Windows på din dator - Kvinna som använder en bärbar dator med en varningsskylt och undersöker hur man upptäcker vad som saktar ner Windows på sin dator för att åtgärda långsamheten och optimera prestandan.

Så här upptäcker du vad som saktar ner Windows på din dator: Kontrollera nu.

5 1 rösta
Artikelbetyg
Prenumerera
Tillträde
Meddela om
gäst
gäst
0 Kommentarer
Äldre
Det nyaste Mer votado
Kommentarer online
Se alla kommentarer

Håll kontakten

  • 976 Fläktar
  • 118 Följare
  • 1,4 tusen Följare
  • 1,8 tusen Prenumeranter

Missa inte det senaste inom teknik och spel.
Exklusiva tips, instruktionsguider och analyser varje dag.

Prenumerationsformulär
  • Tendenser
  • Kommentarer
  • Sista
Så här lägger du till en klocka på ditt Windows 11-skrivbord: 3 idiotsäkra knep!

Så här lägger du till en klocka på ditt Windows 11-skrivbord: Få mer gjort på några minuter! ⏱️

1 maj 2025
12 bästa alternativen till Lucky Patcher för Android

Alternativ till Lucky Patcher: 12 bättre och enklare appar! 🎮⚡

12 maj 2025
Hur man sparar spelet i REPO

Så här sparar du ditt spel i REPO 🔥 Upptäck hemligheten bakom att inte förlora framsteg

7 juli 2025
Hur man använder AdGuard DNS på Android år 2024

Hur man använder AdGuard DNS på Android år 2025

11 februari 2025
Gmail-funktioner på Android: Spara tid med 5 tips

Gmail-funktioner på Android: 5 knep du inte visste om! 📱✨

12
Moderkortsreparation - Moderkortsreparation

Reparation av bärbara moderkort

10
Installera Windows 11 Home utan internet

Installera Windows 11 Home utan internet

10
Så här säkerhetskopierar du drivrutiner i Windows 11/10 i 4 steg!

Så här säkerhetskopierar du drivrutiner i Windows 11/10: Undvik fel! 🚨💾

10
iPhone-färgfilter – Kvinna som håller en iPhone och visar Inställningar > Tillgänglighet med färgfilter aktiverade (gråskala, röd/grön, blå/gul).

iPhone-färgfilter: 3 steg till bättre läsning nu 📱✨

7 september 2025
Switch 2 vs Switch 1 - Person som håller en vit Nintendo Switch 2-handhållen spelkonsol med logotypen på skärmen, vilket illustrerar en designjämförelse mellan Switch 2 och Switch 1.

Switch 2 vs Switch 1: +FPS och 120Hz skärm.

6 september 2025
Oblivion Goblin Wars: Aggressiv goblin i en mörk grotta, skrikande och attackerande med ett spjut bland stalagmiter, kedjor och galler.

Oblivion Goblin Wars: Stjäl en totem, orsaka kaos 💥⏳

6 september 2025
Hur man upptäcker vad som saktar ner Windows på din dator - Kvinna som använder en bärbar dator med en varningsskylt och undersöker hur man upptäcker vad som saktar ner Windows på sin dator för att åtgärda långsamheten och optimera prestandan.

Så här upptäcker du vad som saktar ner Windows på din dator: Kontrollera nu.

6 september 2025

Senaste nyheterna

iPhone-färgfilter – Kvinna som håller en iPhone och visar Inställningar > Tillgänglighet med färgfilter aktiverade (gråskala, röd/grön, blå/gul).

iPhone-färgfilter: 3 steg till bättre läsning nu 📱✨

7 september 2025
0
Switch 2 vs Switch 1 - Person som håller en vit Nintendo Switch 2-handhållen spelkonsol med logotypen på skärmen, vilket illustrerar en designjämförelse mellan Switch 2 och Switch 1.

Switch 2 vs Switch 1: +FPS och 120Hz skärm.

6 september 2025
5
Oblivion Goblin Wars: Aggressiv goblin i en mörk grotta, skrikande och attackerande med ett spjut bland stalagmiter, kedjor och galler.

Oblivion Goblin Wars: Stjäl en totem, orsaka kaos 💥⏳

6 september 2025
4
Hur man upptäcker vad som saktar ner Windows på din dator - Kvinna som använder en bärbar dator med en varningsskylt och undersöker hur man upptäcker vad som saktar ner Windows på sin dator för att åtgärda långsamheten och optimera prestandan.

Så här upptäcker du vad som saktar ner Windows på din dator: Kontrollera nu.

6 september 2025
6
MasterTrend News-logotyp

MasterTrend Info är din främsta källa för teknik: upptäck nyheter, handledningar och analyser om hårdvara, mjukvara, spel, mobila enheter och artificiell intelligens. Prenumerera på vårt nyhetsbrev och missa inga trender.

Följ oss

Bläddra efter kategori

  • Spel
  • Hårdvara
  • AI
  • Mobiltelefoner
  • Nyheter
  • Nätverk
  • Säkerhet
  • Programvara
  • Handledningar
  • Fönster

Senaste nyheterna

iPhone-färgfilter – Kvinna som håller en iPhone och visar Inställningar > Tillgänglighet med färgfilter aktiverade (gråskala, röd/grön, blå/gul).

iPhone-färgfilter: 3 steg till bättre läsning nu 📱✨

7 september 2025
Switch 2 vs Switch 1 - Person som håller en vit Nintendo Switch 2-handhållen spelkonsol med logotypen på skärmen, vilket illustrerar en designjämförelse mellan Switch 2 och Switch 1.

Switch 2 vs Switch 1: +FPS och 120Hz skärm.

6 september 2025
  • Om oss
  • Meddela
  • Integritetspolicy
  • Kontakta oss

Upphovsrätt © 2025 https://mastertrend.info/ - Alla rättigheter förbehållna. Alla varumärken tillhör sina respektive ägare.

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
Inget resultat
Se alla resultat
  • Swedish Swedish
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Chinese Chinese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Dutch Dutch
  • Spel
  • Hårdvara
  • AI
  • Mobiltelefoner
  • Nyheter
  • Nätverk
  • Säkerhet
  • Programvara
  • Handledningar
  • Fönster

Upphovsrätt © 2025 https://mastertrend.info/ - Alla rättigheter förbehållna. Alla varumärken tillhör sina respektive ägare.

Information om kommentarförfattare
:wpds_smile::wpds_grin::wpds_wink::wpds_mrgreen::wpds_neutral::wpds_twisted::wpds_arrow::wpds_chock::wpds_unamused::wpds_cool::wpds_evil::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_lol::wpds_mad::wpds_sad::wpds_utropstecken::wpds_fråga::wpds_idé::wpds_hmm::wpds_beg::wpds_whew::wpds_chuckle::wpds_silly::wpds_envy::wpds_shutmouth:
wpDiskussion
RedditBlå himmelXMastodontHackernyheter
Dela detta:
MastodontVKWhatsAppTelegramSMSHackernyheterLinjeBudbärare
Din Mastodon-instans