{"id":115210,"date":"2022-04-27T06:18:24","date_gmt":"2022-04-27T06:18:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-error-de-npm-permitio-a-los-atacantes-distribuir-malware-como-paquetes-legitimos\/"},"modified":"2022-04-27T06:18:30","modified_gmt":"2022-04-27T06:18:30","slug":"el-error-de-npm-permitio-a-los-atacantes-distribuir-malware-como-paquetes-legitimos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-error-de-npm-permitio-a-los-atacantes-distribuir-malware-como-paquetes-legitimos\/","title":{"rendered":"El error de NPM permiti\u00f3 a los atacantes distribuir malware como paquetes leg\u00edtimos"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Se ha revelado una “falla l\u00f3gica” en NPM, el administrador de paquetes predeterminado para el entorno de tiempo de ejecuci\u00f3n de JavaScript de Node.js, que permite a los actores maliciosos hacer pasar bibliotecas maliciosas como leg\u00edtimas y enga\u00f1ar a los desarrolladores desprevenidos para que las instalen.<\/p>\n

La amenaza de la cadena de suministro ha sido apodada “Plantaci\u00f3n de paquetes” por investigadores de la empresa de seguridad en la nube Aqua. Luego de la divulgaci\u00f3n responsable el 10 de febrero, NPM remedi\u00f3 el problema subyacente el 26 de abril.<\/p>\n

\"La<\/a><\/div>\n

“Hasta hace poco, NPM permit\u00eda agregar a cualquier persona como mantenedor del paquete sin notificar a estos usuarios ni obtener su consentimiento”, Yakir Kadkoda de Aqua. dicho<\/a> en un informe publicado el martes.<\/p>\n

Esto significaba efectivamente que un adversario pod\u00eda crear paquetes con malware y asignarlos a mantenedores populares y confiables sin su conocimiento.<\/p>\n

\"\"<\/div>\n

La idea aqu\u00ed es agregar propietarios cre\u00edbles asociados con otras bibliotecas NPM populares al paquete envenenado controlado por el atacante con la esperanza de que al hacerlo atraiga a los desarrolladores para que lo descarguen.<\/p>\n

Las consecuencias de tal ataque a la cadena de suministro son significativas por varias razones. No solo da una falsa sensaci\u00f3n de confianza entre los desarrolladores, sino que tambi\u00e9n podr\u00eda da\u00f1ar la reputaci\u00f3n de los mantenedores de paquetes leg\u00edtimos.<\/p>\n

\"La<\/a><\/div>\n

La revelaci\u00f3n viene como Aqua descubierto<\/a> dos fallas m\u00e1s en la plataforma NPM relacionadas con la autenticaci\u00f3n de dos factores (2FA) de las que se podr\u00eda abusar para facilitar los ataques de apropiaci\u00f3n de cuentas y publicar paquetes maliciosos.<\/p>\n

“El principal problema es que cualquier usuario de npm puede realizar esto y agregar otros usuarios de NPM como mantenedores de su propio paquete”, dijo Kadkoda. “Eventualmente, los desarrolladores son responsables de los paquetes de c\u00f3digo abierto que utilizan al crear aplicaciones”.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Se ha revelado una “falla l\u00f3gica” en NPM, el administrador de paquetes predeterminado para el entorno de tiempo<\/p>\n","protected":false},"author":1,"featured_media":115211,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,18041,4661,440,4664,5702,5369,4662,4668,4667,25180,36,4669,4654,4658,4659,4653,4655,7359,7358,2268,4663,4666,4665,4660],"class_list":["post-115210","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-atacantes","tag-ataques-ciberneticos","tag-como","tag-como-hackear","tag-distribuir","tag-error","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-legitimos","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-paquetes","tag-permitio","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/115210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=115210"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/115210\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/115211"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=115210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=115210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=115210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}