Paquetes maliciosos en Nx comprometen proyectos de S1ngularity y permiten ejecutar código remoto

Recientemente, los responsables del sistema de construcción Nx alertaron de un grave ataque a su cadena de suministro: se detectaron versiones maliciosas de paquetes npm relacionados con S1ngularity que incluían código para extraer información sensible. Se estima que 2 349 credenciales —de GitHub, servicios en la nube y plataformas de IA— fueron filtradas a servidores controlados por los atacantes.

¿Cómo ocurrió el ataque?

• Typosquatting: los atacantes publicaron paquetes con nombres casi idénticos a los de Nx, lo que favoreció su instalación por error.
• Carga maliciosa: los scripts dentro de postinstall descargaban binarios desde dominios controlados por los atacantes.
• Exfiltración de secretos: las variables de entorno de integración continua (claves de API, tokens de publicación) eran enviadas a un servidor externo.
• Ruptura de confianza: al comprometer dependencias, los proyectos basados en Nx que usaran estos módulos quedaban automáticamente expuestos.

Impacto potencial

1. Robo de credenciales y acceso a repositorios.
2. Ejecución remota de comandos en entornos de desarrollo y pipelines de CI/CD.
3. Ataques en cascada a usuarios que descarguen proyectos construidos con dependencias afectadas.
4. Persistencia de versiones maliciosas con cambios mínimos para evadir la detección.

Recomendaciones

• Revisar y auditar dependencias de manera periódica.
• Emplear archivos de bloqueo de versiones (lockfiles) para evitar instalaciones inesperadas.
• Aislar entornos de compilación e integración, limitando al mínimo los secretos accesibles.
• Comprobar firmas digitales y sumas de verificación de los paquetes antes de integrarlos en proyectos críticos.
• Comunicar y retirar rápidamente librerías fraudulentas del registro npm para frenar su propagación.

Este caso recuerda que la seguridad de la cadena de suministro depende de la vigilancia constante sobre dependencias externas. Una práctica que cada vez resulta más esencial en entornos de desarrollo colaborativo y abierto.

Más información

• The Hacker News – Malicious Nx Packages in S1ngularity Project Deliver Supply Chain Attack
• Socket – NPM targeted by malware campaign mimicking familiar library names
  

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog