🎉 Estamos de vuelta! Después de 7 años sin estar en línea, MarlexSystems ha regresado • Lee más aquí
Marlex Systems

GitHub fortalece la seguridad de npm: Plan contra ataques en la cadena de suministro de paquetes

Por Patrick D'appollonio
Publicado el 30 de septiembre del 2025
2 minutos de lectura • 373 palabras

El ecosistema de código abierto es la base de la industria moderna de software, pero su naturaleza colaborativa también presenta vulnerabilidades únicas que son continuamente probadas y atacadas por actores maliciosos. GitHub está tomando medidas decisivas para fortalecer la seguridad del registro npm después de un reciente aumento de ataques que han comprometido cuentas de mantenedores y distribuido software malicioso a través de paquetes conocidos y confiables.

El registro npm, ahora mantenido por GitHub, sigue siendo un objetivo principal para los atacantes que buscan explotar la cadena de suministro de software.

El 14 de septiembre de 2025, GitHub fue notificado del ataque Shai-Hulud, un gusano autorreplicante que se infiltró en el ecosistema npm mediante cuentas de mantenedores comprometidas. Este malware inyectaba scripts maliciosos post-instalación en paquetes JavaScript populares, combinando autorreplicación con la capacidad de robar múltiples tipos de secretos. En respuesta inmediata, GitHub eliminó más de 500 paquetes comprometidos y bloqueó la carga de nuevos paquetes que contenían los indicadores de compromiso del malware.

GitHub está implementando cambios significativos en la autenticación y opciones de publicación para abordar el abuso de tokens y el malware autorreplicante. El roadmap de seguridad incluye tres métodos principales: publicación local con autenticación de dos factores requerida, tokens granulares con vida limitada de siete días, y publicación confiable (trusted publishing). Estas medidas buscan eliminar gradualmente los tokens clásicos legacy y migrar a los usuarios de TOTP 2FA a autentificación basada en FIDO.

La publicación confiable (trusted publishing) es una capacidad de seguridad recomendada por el Grupo de Trabajo de OpenSSF que elimina la necesidad de gestionar de forma segura un token API en el sistema de compilación. Aunque npm lanzó el soporte para esta función con la intención de que su adopción creciera orgánicamente, los atacantes han demostrado que no están esperando. GitHub ahora recomienda encarecidamente que los proyectos adopten la publicación confiable lo antes posible para todos los gestores de paquetes compatibles.

Los mantenedores de npm pueden tomar acciones inmediatas para fortalecer su seguridad: utilizar publicación confiable en lugar de tokens, fortalecer la configuración de publicación para requerir 2FA en todas las acciones de escritura, y configurar autenticación de dos factores usando WebAuthn en lugar de TOTP. La resiliencia verdadera requiere la participación activa y la vigilancia de todos en la industria del software para construir colectivamente un ecosistema de código abierto más seguro y confiable.

Más información | GitHub Blog

Seguridad Software Internet Empresas

Continúa Leyendo