• 關於我們
  • 宣布
  • 隱私權政策
  • 联系我们
MasterTrend 新闻
  • 家
    • 博客
    • 店铺
  • 教程
  • 硬體
  • 赌博
  • 手机
  • 安全
  • 視窗
  • 人工智能
  • 軟體
  • 网络
  • 消息
  • Chinese Chinese
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
没有结果
查看所有结果
  • 家
    • 博客
    • 店铺
  • 教程
  • 硬體
  • 赌博
  • 手机
  • 安全
  • 視窗
  • 人工智能
  • 軟體
  • 网络
  • 消息
  • Chinese Chinese
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Russian Russian
    • Thai Thai
    • Polish Polish
    • Turkish Turkish
    • Indonesian Indonesian
    • Hindi Hindi
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
没有结果
查看所有结果
MasterTrend 新闻
没有结果
查看所有结果
開始 安全

s1ngularity 泄漏:2,180 个账户和 7,200 个 repos。

MasterTrend 洞察 经过 MasterTrend 洞察
2025年1月9日 6日
在 安全
阅读时间:4 分钟阅读
到 到
0
s1ngularity 泄漏 - 红色背景上的 GitHub 徽标;针对影响 GitHub 和 NPM 的 s1ngularity 泄漏的安全警报,使开发人员存储库面临风险。

Filtración s1ngularity: GitHub y NPM afectados. Ciberataque podría comprometer repositorios y paquetes; revoca tokens, verifica commits y actualiza dependencias con 2FA para proteger tus proyectos.

2
共享
5
视图
在 Facebook 上分享在 Twitter 上分享

內容

  1. Filtración s1ngularity: GitHub y NPM afectados 🚨
  2. El ataque a la cadena de suministro de Nx ⚠️🚀
    1. Vector de compromiso y fecha del incidente 📅
    2. Funcionamiento del malware telemetry.js 🕵️‍♂️
  3. Alcance del impacto: radio de daño y fases 📈🔥
  4. Respuesta del proyecto Nx y mitigación 🔧✅
    1. Recomendaciones y puntos clave rápidos ✏️
    2. Snippets definitorios y preguntas frecuentes ✨
    3. 相关出版物

Filtración s1ngularity: GitHub y NPM afectados 🚨

GitHub — ilustración relacionada con fuga de tokens y secretos

Investigaciones recientes sobre el ataque a la cadena de suministro denominado «s1ngularity» contra Nx revelan una fuga masiva de credenciales: miles de tokens de cuentas y secretos de repositorios quedaron expuestos, con repercusiones en múltiples fases del incidente. Un informe post-incidente de Wiz documenta el alcance y permite entender cómo evolucionó la exfiltración y su impacto. 🚨📊

Según la evaluación publicada por los investigadores de Wiz, la brecha produjo la exposición de 2.180 cuentas y 7.200 repositorios en tres fases diferenciadas, con muchos secretos aún válidos y riesgo de daños continuos. El informe técnico aporta detalles sobre la cronología, las técnicas del atacante y la naturaleza de los secretos filtrados. 🔍📈

El ataque a la cadena de suministro de Nx ⚠️🚀

Nx es un sistema de compilación y gestión de monorepositorio de código abierto, ampliamente usado en ecosistemas JavaScript/TypeScript a escala empresarial. Cuenta con millones de descargas semanales en el registro NPM, por lo que un paquete comprometido tiene un gran alcance y puede afectar a numerosas integraciones y pipelines de desarrollo. ⚙️

Vector de compromiso y fecha del incidente 📅

El 26 de agosto de 2025, el actor malicioso explotó un flujo de trabajo de GitHub Actions vulnerable en el repositorio de Nx para publicar una versión maliciosa del paquete en NPM. El paquete incluía un script post-install malicioso llamado «telemetry.js» que actuó como malware extractor de credenciales en los sistemas afectados. 🔥

Funcionamiento del malware telemetry.js 🕵️‍♂️

El malware telemetry.js actuó como un ladrón de credenciales en Linux y macOS, intentando robar tokens de GitHub, tokens de npm, claves SSH, archivos .env, carteras de criptomonedas y otros secretos, para luego subirlos a repositorios públicos de GitHub nombrados «s1ngularity-repository». Este patrón permitió al atacante centralizar y exponer la información robada. 🔐

Prompt LLM utilizado para buscar y robar credenciales y secretos
Prompt LLM para buscar y exfiltrar credenciales y otros secretos
Source: Wiz

El atacante además integró herramientas de línea de comandos para plataformas de IA (por ejemplo, Claude, Q y Gemini) para automatizar búsquedas y recolección mediante prompts dirigidos. Wiz documenta cómo el prompt evolucionó durante el ataque, optimizando la extracción y sorteando rechazos de los modelos ante ciertas instrucciones, lo que refleja una sintonía activa del actor con técnicas LLM. ✨💡

Alcance del impacto: radio de daño y fases 📈🔥

El incidente se desarrolló en tres fases. En la primera, entre el 26 y 27 de agosto, las versiones comprometidas de Nx afectaron directamente a 1.700 usuarios y filtraron más de 2.000 secretos únicos, además de exponer alrededor de 20.000 archivos desde sistemas infectados. GitHub intervino, pero gran parte de los datos ya se habían duplicado. ⚡

  • 🔹 Fase 1 (26–27 ago): 1.700 usuarios afectados, ~2.000 secretos filtrados, 20.000 archivos comprometidos.
  • 🔸 Fase 2 (28–29 ago): uso de tokens filtrados para convertir repositorios privados en públicos; 480 cuentas adicionales comprometidas y 6.700 repositorios expuestos.
  • 🔹 Fase 3 (desde 31 ago): ataque dirigido a una organización víctima usando cuentas comprometidas para publicar 500 repositorios privados más.

Durante la segunda fase los atacantes emplearon tokens de GitHub robados para volver públicos repositorios privados y renombrarlos con la cadena ‘s1ngularity', lo que amplificó la exposición. En la tercera fase un objetivo específico fue explotado para publicar cientos de repositorios privados adicionales, evidenciando persistencia y escalada del atacante. 🎯

Visión general del ataque y su impacto
Resumen visual del ataque s1ngularity
Source: Wiz

Respuesta del proyecto Nx y mitigación 🔧✅

El equipo de Nx publicó un análisis de causa raíz en GitHub que explica cómo una inyección en el título de un pull request combinada con el uso inseguro de pull_request_target permitió ejecutar código arbitrario con permisos elevados, desencadenando el pipeline de publicación y facilitando la exfiltración del token de publicación de npm. 🛠️

Las acciones implementadas incluyeron la eliminación de paquetes maliciosos, la revocación y rotación de tokens comprometidos, y la adopción obligatoria de autenticación de dos factores para todas las cuentas publicadoras. Además, Nx adoptó el modelo Trusted Publisher de NPM y añadió aprobación manual para flujos de trabajo desencadenados por PRs. 🔐📌

Recomendaciones y puntos clave rápidos ✏️

  • ✅ Revisar y rotar tokens y secretos inmediatamente si se sospecha compromiso.
  • 📌 Evitar el uso inseguro de pull_request_target y aplicar aprobaciones manuales en flujos sensibles.
  • 🔧 Implementar autenticación multifactor y modelos de publicación confiables como Trusted Publisher.
  • ⚡ Monitorizar repositorios públicos y búsquedas automatizadas de secretos para detección temprana.

Snippets definitorios y preguntas frecuentes ✨

¿Qué es «telemetry.js»?

telemetry.js es el nombre del script post-install malicioso incluido en la versión comprometida del paquete Nx; actuó como ladrón de credenciales en sistemas Linux y macOS para recolectar y exfiltrar secretos hacia repositorios públicos controlados por el atacante. 🔍

¿Cuántas cuentas y repositorios se vieron afectados?

Según el informe de Wiz, el ataque expuso 2.180 cuentas y 7.200 repositorios a lo largo de las tres fases documentadas del incidente, con muchos secretos aún válidos y riesgo de impacto continuado. 📊


Informe Picus Blue Report 2025 — portada

46% de entornos presentaron contraseñas comprometidas, casi el doble respecto al 25% del año anterior. Obtén el Picus Blue Report 2025 para un análisis completo sobre prevención, detección y tendencias en exfiltración de datos. 📈

El informe aporta métricas, recomendaciones y casos prácticos para endurecer defensas y mejorar la respuesta ante fugas de secretos. ⭐

分享這個:
Facebook領英興趣X紅迪網豆瓣藍天執行緒數分享

相關文章:

  • 装甲 RDP:发现 10 个基本步骤!
    装甲 RDP:发现 10 个基本步骤! 🚀
    装甲 RDP:按照我们超全面的 10 步检查表,在 2025 年保护您的 RDP 🔒✨立即保护您的系统!
  • GitHub 上的 Dotfiles 轻松快速地管理 Linux!
    GitHub 上的 Dotfiles:快速轻松地管理 Linux! 🚀💻
    GitHub 上的点文件可以节省您的时间并确保安全备份。只需单击一下即可控制您的 Linux! 💻🔄⚡
  • AGI 您现在应该了解的 5 个紧急风险
    AGI:一场将改变你生活的技术革命
    AGI:看似虚构的人工智能已经到来。了解它对你来说意味着什么。 🤖🌟
  • 密码管理器
    密码管理器🚀:避免的关键……
    密码管理器🔑是轻松创建和保存安全密码的解决方案。使用这些应用防止盗窃!…
  • 人工智能和自动化代理将您的生产力提高 5 倍
    人工智能代理和自动化:节省时间和……
    人工智能和自动化代理正在彻底改变流程、减少任务并加速智能业务的成果。
  • Intel 和 AMD CPU 的等效項
    Intel 和 AMD CPU 的等效項
    您是否正在尋找與 Intel 和 AMD 處理器相當的產品?在我們的專業指南中找到您需要了解的一切。現在了解更多!

相关出版物

  • 错误事件 ID 1001:立即轻松修复! ⚡
  • AI 隐私:一键禁用 Gemini 和 Copilot 🔒
  • 人工智能代理:它们如何改变你今天的业务
  • 微软 Majorana 1:彻底改变量子计算! 🚀
  • ChatBIT:中国军事人工智能的新前沿
  • 🔥 热门树莓派:用这个技巧避免损坏⚠️
  • 在没有互联网的情况下安装 Windows 11 家庭版
  • Windows 11 备份:立即避免损失! ⚠️✨
标签: 网络安全常青内容惡意軟體
上一篇文章

图形驱动程序优化:通过一次更新即可实现 +40 % FPS。

下一期

如何检测是什么导致您的 PC 上的 Windows 运行速度变慢:立即检查。

MasterTrend 洞察

MasterTrend 洞察

我们的编辑团队分享深入的评论、教程和建议,以帮助您充分利用数字设备和工具。

下一期
如何检测是什么导致您的 PC 上的 Windows 速度变慢 - 一位女士使用带有警告标志的笔记本电脑,研究如何检测是什么导致她的 PC 上的 Windows 速度变慢,以修复速度缓慢问题并优化性能。

如何检测是什么导致您的 PC 上的 Windows 运行速度变慢:立即检查。

5 1 投票
文章評級
訂閱
使用权
通知
客人
客人
0 評論
最古老的
最新 投票最多
線上評論
查看所有評論

保持联系

  • 976 风扇
  • 118 关注者
  • 1.4千 关注者
  • 1.8千 订阅者

不要错过最新的技术和游戏。
每天提供独家提示、操作指南和分析。

订阅表格
  • 趋势
  • 评论
  • 最后的
如何在 Windows 11 桌面添加时钟:3 个万无一失的技巧!

如何在 Windows 11 桌面添加时钟:几分钟内完成更多工作! ⏱️

2025 年 1 月 5 日,第 1 期
12 个 Android 版 Lucky Patcher 的最佳替代品

Lucky Patcher 替代品:12 个更好、更简单的应用程序! 🎮⚡

2025年1月5日 12日
如何在 REPO 中保存游戏

如何在 REPO 中保存你的游戏🔥 发现不丢失进度的秘诀

2025 年 1 月 7 日
2024 年如何在 Android 上使用 AdGuard DNS

2025 年如何在 Android 上使用 AdGuard DNS

2025 年 2 月 11 日
Android 版 Gmail 功能:5 个小窍门助您节省时间

Android 上的 Gmail 功能:您不知道的 5 个技巧! 📱✨

12
主板维修 - 维修主板

笔记本主板维修

10
在没有互联网的情况下安装 Windows 11 家庭版

在没有互联网的情况下安装 Windows 11 家庭版

10
如何通过 4 个步骤备份 Windows 11/10 中的驱动程序!

如何在 Windows 11/10 中备份驱动程序:避免错误! 🚨💾

10
iPhone 颜色滤镜 - 一位女士手持 iPhone,显示“设置”>“辅助功能”,并打开颜色滤镜(灰度、红/绿、蓝/黄)。

iPhone 色彩滤镜:3 步助您立即获得更佳阅读体验📱✨

2025年1月9日
Switch 2 与 Switch 1 - 一个人手持一台白色的 Nintendo Switch 2 掌上游戏机,屏幕上显示着它的标志,以此来对比 Switch 2 与 Switch 1 的设计。

Switch 2 与 Switch 1:+FPS 和 120Hz 屏幕。

2025年1月9日 6日
遗忘妖精战争:黑暗洞穴中的攻击性妖精,在石笋、链条和栅栏之间尖叫并用长矛发起攻击。

湮没地精战争:窃取图腾,引发混乱💥⏳

2025年1月9日 6日
如何检测是什么导致您的 PC 上的 Windows 速度变慢 - 一位女士使用带有警告标志的笔记本电脑,研究如何检测是什么导致她的 PC 上的 Windows 速度变慢,以修复速度缓慢问题并优化性能。

如何检测是什么导致您的 PC 上的 Windows 运行速度变慢:立即检查。

2025年1月9日 6日

最新资讯

iPhone 颜色滤镜 - 一位女士手持 iPhone,显示“设置”>“辅助功能”,并打开颜色滤镜(灰度、红/绿、蓝/黄)。

iPhone 色彩滤镜:3 步助您立即获得更佳阅读体验📱✨

2025年1月9日
6
Switch 2 与 Switch 1 - 一个人手持一台白色的 Nintendo Switch 2 掌上游戏机,屏幕上显示着它的标志,以此来对比 Switch 2 与 Switch 1 的设计。

Switch 2 与 Switch 1:+FPS 和 120Hz 屏幕。

2025年1月9日 6日
6
遗忘妖精战争:黑暗洞穴中的攻击性妖精,在石笋、链条和栅栏之间尖叫并用长矛发起攻击。

湮没地精战争:窃取图腾,引发混乱💥⏳

2025年1月9日 6日
4
如何检测是什么导致您的 PC 上的 Windows 速度变慢 - 一位女士使用带有警告标志的笔记本电脑,研究如何检测是什么导致她的 PC 上的 Windows 速度变慢,以修复速度缓慢问题并优化性能。

如何检测是什么导致您的 PC 上的 Windows 运行速度变慢:立即检查。

2025年1月9日 6日
6
MasterTrend 新闻徽标

MasterTrend Info 是您获取科技资讯的首选:探索硬件、软件、游戏、移动设备和人工智能领域的新闻、教程和分析。订阅我们的新闻通讯,不错过任何潮流趋势。

跟着我们

按类别浏览

  • 赌博
  • 硬體
  • 人工智能
  • 手机
  • 消息
  • 网络
  • 安全
  • 軟體
  • 教程
  • 視窗

最新资讯

iPhone 颜色滤镜 - 一位女士手持 iPhone,显示“设置”>“辅助功能”,并打开颜色滤镜(灰度、红/绿、蓝/黄)。

iPhone 色彩滤镜:3 步助您立即获得更佳阅读体验📱✨

2025年1月9日
Switch 2 与 Switch 1 - 一个人手持一台白色的 Nintendo Switch 2 掌上游戏机,屏幕上显示着它的标志,以此来对比 Switch 2 与 Switch 1 的设计。

Switch 2 与 Switch 1:+FPS 和 120Hz 屏幕。

2025年1月9日 6日
  • 關於我們
  • 宣布
  • 隱私權政策
  • 联系我们

版权所有 © 2025 https://mastertrend.info/ - 保留所有权利。所有商标均为其各自所有者的财产。

Spanish Spanish
Spanish Spanish
English English
Portuguese Portuguese
French French
Italian Italian
Russian Russian
German German
Chinese Chinese
Korean Korean
Japanese Japanese
Thai Thai
Hindi Hindi
Arabic Arabic
Turkish Turkish
Polish Polish
Indonesian Indonesian
Dutch Dutch
Swedish Swedish
没有结果
查看所有结果
  • Chinese Chinese
    • Spanish Spanish
    • English English
    • Portuguese Portuguese
    • French French
    • Italian Italian
    • German German
    • Korean Korean
    • Japanese Japanese
    • Russian Russian
    • Polish Polish
    • Indonesian Indonesian
    • Turkish Turkish
    • Hindi Hindi
    • Thai Thai
    • Arabic Arabic
    • Swedish Swedish
    • Dutch Dutch
  • 赌博
  • 硬體
  • 人工智能
  • 手机
  • 消息
  • 网络
  • 安全
  • 軟體
  • 教程
  • 視窗

版权所有 © 2025 https://mastertrend.info/ - 保留所有权利。所有商标均为其各自所有者的财产。

評論作者訊息
:wpds_微笑::wpds_grin::wpds_wink::wpds_mrgreen::wpds_中性::wpds_扭曲::wpds_箭頭::wpds_shock::wpds_unamused::wpds_酷::wpds_邪惡::wpds_oops::wpds_razz::wpds_roll::wpds_cry::wpds_eek::wpds_哈哈::wpds_mad::wpds_悲傷::wpds_感嘆號::wpds_問題::wpds_想法::wpds_嗯::wpds_beg::wpds_whew::wpds_咯咯::wpds_silly::wpds_羨慕::wpds_shutmouth:
wpDiscuz
紅迪網藍天X乳齒象黑客新闻
分享這個:
乳齒象VKWhatsApp电报短信黑客新闻线信使
你的 Mastodon 实例