{"id":422934,"date":"2022-10-13T17:09:14","date_gmt":"2022-10-13T17:09:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevo-ataque-de-sincronizacion-contra-la-api-de-registro-de-npm-podria-exponer-paquetes-privados\/"},"modified":"2022-10-13T17:09:15","modified_gmt":"2022-10-13T17:09:15","slug":"nuevo-ataque-de-sincronizacion-contra-la-api-de-registro-de-npm-podria-exponer-paquetes-privados","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevo-ataque-de-sincronizacion-contra-la-api-de-registro-de-npm-podria-exponer-paquetes-privados\/","title":{"rendered":"Nuevo ataque de sincronizaci\u00f3n contra la API de registro de NPM podr\u00eda exponer paquetes privados"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un nuevo ataque de tiempo descubierto contra la API de registro de npm puede explotarse para potencialmente revelar paquetes privados utilizados por organizaciones, poniendo a los desarrolladores en riesgo de amenazas en la cadena de suministro.<\/p>\n

“Al crear una lista de posibles nombres de paquetes, los actores de amenazas pueden detectar las organizaciones”. paquetes privados con alcance<\/a> y luego enmascaran paquetes p\u00fablicos, enga\u00f1ando a los empleados y usuarios para que los descarguen”, dijo el investigador de Aqua Security, Yakir Kadkoda. dijo<\/a>.<\/p>\n

\"La<\/a><\/div>\n

El ataque de Scoped Confusion se basa en analizar el tiempo que tarda la API de npm<\/a> (registro.npmjs[.]org) para devolver un mensaje de error HTTP 404 al consultar un paquete privado y compararlo con el tiempo de respuesta de un m\u00f3dulo inexistente.<\/p>\n

\"Paquetes<\/div>\n

“En promedio, lleva menos tiempo obtener una respuesta para un paquete privado que no existe en comparaci\u00f3n con un paquete privado que s\u00ed existe”, explic\u00f3 Kadkoda.<\/p>\n

La idea, en \u00faltima instancia, es identificar los paquetes utilizados internamente por las empresas, que luego podr\u00edan ser utilizados por los actores de amenazas para crear versiones p\u00fablicas de los mismos paquetes en un intento de envenenar la cadena de suministro de software.<\/p>\n

\"Paquetes<\/div>\n

Los \u00faltimos hallazgos tambi\u00e9n son diferentes de los ataques de confusi\u00f3n de dependencias en que requieren que el adversario primero adivine los paquetes privados utilizados por una organizaci\u00f3n y luego publique paquetes falsos con el mismo nombre bajo el alcance p\u00fablico.<\/p>\n

Confusi\u00f3n de dependencia (tambi\u00e9n conocida como confusi\u00f3n de espacio de nombres<\/a>), por el contrario, se basa en el hecho de que los administradores de paquetes verifican los registros de c\u00f3digos p\u00fablicos para un paquete antes que los registros privados, lo que resulta en la recuperaci\u00f3n de un paquete malicioso de una versi\u00f3n superior del repositorio p\u00fablico.<\/p>\n

\"La<\/a><\/div>\n

Aqua Security dijo que revel\u00f3 el error a GitHub el 8 de marzo de 2022, lo que llev\u00f3 a la subsidiaria propiedad de Microsoft a emitir una respuesta de que el ataque de tiempo no se solucionar\u00e1 debido a limitaciones arquitect\u00f3nicas.<\/p>\n

Como medidas preventivas, se recomienda que las organizaciones escaneen rutinariamente npm y otras plataformas de administraci\u00f3n de paquetes en busca de paquetes similares o falsificados que se hagan pasar por contrapartes internas.<\/p>\n

“Si no encuentra paquetes p\u00fablicos similares a sus paquetes internos, considere crear paquetes p\u00fablicos como marcadores de posici\u00f3n para evitar este tipo de ataques”, dijo Kadkoda.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Un nuevo ataque de tiempo descubierto contra la API de registro de npm puede explotarse para potencialmente revelar<\/p>\n","protected":false},"author":1,"featured_media":422935,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,1247,4661,4664,110,20304,4662,4668,4667,4654,4658,4659,4653,4655,7359,480,7358,2916,21395,4663,1650,4666,4665,111631,4660],"class_list":["post-422934","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataque","tag-ataques-ciberneticos","tag-como-hackear","tag-contra","tag-exponer","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-nuevo","tag-paquetes","tag-podria","tag-privados","tag-programa-malicioso-ransomware","tag-registro","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sincronizacion","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/422934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=422934"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/422934\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/422935"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=422934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=422934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=422934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}