GitHub refuerza la seguridad de npm contra ataques a la cadena de suministro.

Redazione RHC : 24 septiembre 2025 07:16

GitHub ha anunciado cambios importantes en su sistema de autenticación y publicación npm para reforzar la protección contra ataques a la cadena de suministro. Estas actualizaciones fueron impulsadas por la reciente campaña Shai-Hulud , un gusano malicioso autopropagador incrustado en cientos de bibliotecas npm. No solo se replicaba en otros paquetes, sino que también escaneaba los dispositivos de los desarrolladores en busca de datos confidenciales, como claves y tokens, y los transmitía a los atacantes.

En respuesta al incidente, GitHub anunció que pronto eliminaría los mecanismos de permisos heredados e introduciría controles más estrictos.

Los cambios clave incluyen la autenticación de dos factores obligatoria para la publicación local y la adopción de tokens de corta duración con una validez máxima de siete días. Además, la compañía promoverá activamente el uso de Trusted Publishing, un sistema basado en el protocolo OpenID Connect que permite la publicación directa de paquetes desde CI/CD sin necesidad de un token.

La Publicación Confiable crea un vínculo criptográficamente verificable entre un paquete publicado y su entorno de compilación. La interfaz de línea de comandos de npm genera y adjunta automáticamente una prueba de autenticidad a la versión, lo que permite a cualquier usuario verificar dónde y bajo qué condiciones se compiló el paquete. Esta solución busca aumentar la transparencia y la confianza en los proveedores de componentes de software.

La transición al nuevo sistema incluirá los siguientes cambios:

• tokens clásicos utilizados anteriormente para publicación;
• la interrupción de TOTP como método 2FA en favor de claves físicas compatibles con FIDO;
• limitar el período de validez de los tokens detallados, especialmente aquellos que otorgan derechos de publicación;
• Publicación de tokens bloqueada de forma predeterminada: se dará preferencia a la publicación confiable o la carga manual con 2FA;
• eliminación de excepciones que permiten eludir la protección de dos factores durante la publicación local;
• Ampliando la lista de proveedores de CI/CD adecuados para publicaciones confiables.

Según GitHub, esto debería reducir drásticamente la capacidad de los atacantes de apoderarse de la infraestructura de NPM a través de tokens falsificados o robados, especialmente dada la escala del ataque Shai-Hulud.

El punto de inflexión fue un malware recientemente descubierto, capaz no solo de replicarse, sino también de robar diversos tipos de secretos, yendo mucho más allá de comprometer un solo ecosistema. La compañía enfatiza que sin la intervención y respuesta oportunas de la comunidad, las consecuencias podrían haber sido mucho más graves.

El nuevo modelo de entrega tiene como objetivo reducir la dependencia de los tokens como único punto de falla y aumentar el nivel de verificación de cada acción de colocación de paquetes.

Estas medidas representan no sólo una respuesta a un ataque específico, sino también una revisión estratégica de todo el sistema de seguridad, basada en los principios de minimización de privilegios y verificación criptográfica.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli