7 Min. de lectura<\/p>\n
Un \u00fanico atacante public\u00f3 el 28 de mayo 14 paquetes npm maliciosos en solo cuatro horas. Imitaban bibliotecas conocidas de OpenSearch y ElasticSearch y, tras su instalaci\u00f3n, robaban al instante credenciales de acceso a la nube y a CI\/CD. La lecci\u00f3n inc\u00f3moda: quien revisa las dependencias una vez y luego conf\u00eda en ellas, se defiende a un ritmo del pasado.<\/strong><\/p>\n El mecanismo no es nuevo, pero su velocidad s\u00ed. El atacante recurri\u00f3 al typosquatting, es decir, nombres de paquetes que se asemejan a bibliotecas populares salvo por un error tipogr\u00e1fico. Quien instala r\u00e1pidamente un m\u00f3dulo de OpenSearch o ElasticSearch en segundo plano, puede caer f\u00e1cilmente en el nombre equivocado.<\/p>\n Los 14 paquetes no fueron un lanzamiento aleatorio. Estaban dirigidos espec\u00edficamente al entorno de OpenSearch, ElasticSearch, herramientas DevOps y bibliotecas de configuraci\u00f3n. Esta selecci\u00f3n responde a una decisi\u00f3n de p\u00fablico objetivo: los desarrolladores en este \u00e1mbito suelen tener a mano credenciales de AWS y Elastic en su entorno. Tras la instalaci\u00f3n, los paquetes comenzaron a recopilar credenciales de acceso y a enviarlas a un servidor del atacante.<\/p>\n Para un equipo de defensa (Blue Team), la observaci\u00f3n clave no es el paquete individual, sino el plazo. Cuatro horas son menos que cualquier proceso de aprobaci\u00f3n manual. Una defensa basada en la revisi\u00f3n humana antes de la incorporaci\u00f3n es estructuralmente demasiado lenta.<\/p>\n Un dato resume por qu\u00e9 los controles puntuales no sirven de nada.<\/p>\n El problema no es que las empresas no revisen sus dependencias. El problema es que lo hacen en el momento equivocado. Un paquete que era seguro en el momento de la selecci\u00f3n puede contener c\u00f3digo malicioso tras la siguiente actualizaci\u00f3n. Una evaluaci\u00f3n est\u00e1tica solo conoce el estado de ayer.<\/p>\n La respuesta no est\u00e1 en m\u00e1s revisiones previas, sino en la observaci\u00f3n durante la ejecuci\u00f3n. Algunas medidas tienen efecto inmediato y no requieren una nueva plataforma.<\/p>\n Tras cada incidente en la cadena de suministro, surge la llamada a una puerta de aprobaci\u00f3n m\u00e1s estricta: m\u00e1s controles, m\u00e1s autorizaciones, m\u00e1s listas. Esto ralentiza el desarrollo y no resuelve el problema real. El atacante fue m\u00e1s r\u00e1pido que cualquier puerta, y el pr\u00f3ximo paquete comprometido llegar\u00e1 a trav\u00e9s de una actualizaci\u00f3n que ya super\u00f3 la aprobaci\u00f3n.<\/p>\n Es m\u00e1s eficaz trasladar el foco del momento de la selecci\u00f3n al momento de la ejecuci\u00f3n. No es la cuesti\u00f3n de si un paquete estaba limpio en alg\u00fan momento, sino lo que est\u00e1 haciendo durante el *build* lo que determina el da\u00f1o. No es una conclusi\u00f3n costosa, pero s\u00ed inc\u00f3moda: exige abandonar un ritual de verificaci\u00f3n ya establecido.<\/p>\n Los atacantes publican paquetes con nombres que se asemejan a bibliotecas populares, salvo por un error tipogr\u00e1fico. Quien escribe mal el nombre al instalar o lo copia sin prestar atenci\u00f3n, descarga el paquete malicioso en lugar del aut\u00e9ntico.<\/p>\n Un paquete que estaba limpio en el momento de la selecci\u00f3n puede contener c\u00f3digo malicioso tras una actualizaci\u00f3n posterior. Las evaluaciones est\u00e1ticas solo conocen el estado en el momento de la revisi\u00f3n. La protecci\u00f3n real llega con la observaci\u00f3n continua de lo que los paquetes hacen realmente durante el *build*.<\/p>\n Rotar las credenciales afectadas de AWS, Vault, npm y GitHub, bloquear el tr\u00e1fico saliente hacia el dominio de control del atacante a nivel de firewall y DNS, y revisar los registros de *build* de CI\/CD en busca de conexiones inesperadas.<\/p>\n Mediante el control del tr\u00e1fico saliente desde el entorno de *build*. Un script de instalaci\u00f3n que establece una conexi\u00f3n externa o un proceso Node que carga una runtime ajena son se\u00f1ales fiables de anomal\u00edas.<\/p>\n Solo de forma limitada. Una puerta de aprobaci\u00f3n m\u00e1s estricta ralentiza el desarrollo sin resolver el problema central, ya que el atacante es m\u00e1s r\u00e1pido y la pr\u00f3xima actualizaci\u00f3n comprometida pasar\u00e1 la puerta de todos modos. M\u00e1s eficaz es la observaci\u00f3n en tiempo de ejecuci\u00f3n.<\/p>\n Fuente imagen de portada: Pexels \/ ThisIsEngineering (px:3861951)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Un atacante introdujo 14 paquetes maliciosos en el registro de npm en solo cuatro horas y accedi\u00f3 a credenciales secretas de pipelines CI\/CD.","protected":false},"author":10,"featured_media":16374,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Cadena de suministro npm","_yoast_wpseo_title":"14 paquetes npm maliciosos en cuatro horas: por qu\u00e9 la verificaci\u00f3n est\u00e1tica de terceros ya no es suficiente","_yoast_wpseo_metadesc":"14 paquetes npm maliciosos en cuatro horas: por qu\u00e9 la verificaci\u00f3n est\u00e1tica de terceros es demasiado lenta contra ataques de cadena de suministro y qu\u00e9\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["14-boesartige-npm-pakete-in-vier-stunden-warum-statische"],"footnotes":""},"categories":[253],"tags":[],"class_list":["post-16103","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualidad"],"evm_reading_time_minutes":6,"wpml_language":"es","wpml_translation_of":15977,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/16103","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/comments?post=16103"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/16103\/revisions"}],"predecessor-version":[{"id":16519,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/posts\/16103\/revisions\/16519"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media\/16374"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/media?parent=16103"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/categories?post=16103"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/es\/wp-json\/wp\/v2\/tags?post=16103"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Lo m\u00e1s importante en resumen<\/h2>\n
\n
Qu\u00e9 ocurri\u00f3 el 28 de mayo<\/h2>\n
La cifra que cambia el modelo de defensa<\/h2>\n
Qu\u00e9 deben cambiar ahora los equipos de detecci\u00f3n<\/h2>\n
\n
El reflejo que lleva por mal camino<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfQu\u00e9 es el typosquatting en paquetes npm?<\/h3>\n
\u00bfPor qu\u00e9 no basta con una revisi\u00f3n \u00fanica de las dependencias?<\/h3>\n
\u00bfQu\u00e9 medidas inmediatas son necesarias tras un incidente de este tipo?<\/h3>\n
\u00bfC\u00f3mo detecta un SOC la filtraci\u00f3n de secretos de CI\/CD?<\/h3>\n
\u00bfDeber\u00edan endurecerse los procesos de aprobaci\u00f3n como respuesta?<\/h3>\n
M\u00e1s del MBF Media Network<\/h3>\n
\n