{"id":629015,"date":"2023-02-16T21:06:02","date_gmt":"2023-02-16T21:06:02","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-secuestran-el-popular-paquete-npm-con-millones-de-descargas\/"},"modified":"2023-02-16T21:06:04","modified_gmt":"2023-02-16T21:06:04","slug":"los-investigadores-secuestran-el-popular-paquete-npm-con-millones-de-descargas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-secuestran-el-popular-paquete-npm-con-millones-de-descargas\/","title":{"rendered":"Los investigadores secuestran el popular paquete NPM con millones de descargas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Cadena de Suministro \/ Seguridad del Software <\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un popular paquete npm con m\u00e1s de 3,5 millones de descargas semanales ha resultado vulnerable a un ataque de apropiaci\u00f3n de cuenta.<\/p>\n<p>&#8220;El paquete puede hacerse cargo recuperando un nombre de dominio vencido para uno de sus mantenedores y restableciendo la contrase\u00f1a&#8221;, la empresa de seguridad de la cadena de suministro de software Illustria <a rel=\"nofollow noopener\" href=\"https:\/\/blog.illustria.io\/illustria-discovers-account-takeover-vulnerability-in-a-popular-package-affecting-1000-8aaaf61ebfc4\" target=\"_blank\">dicho<\/a> en un informe<\/p>\n<p>Si bien las protecciones de seguridad de npm limitan a los usuarios a tener solo una direcci\u00f3n de correo electr\u00f3nico activa por cuenta, la firma israel\u00ed dijo que pudo restablecer la contrase\u00f1a de GitHub utilizando el dominio recuperado.<\/p>\n<p>El ataque, en pocas palabras, otorga a un actor de amenazas acceso a la cuenta de GitHub asociada al paquete, lo que permite publicar versiones troyanizadas en el registro de npm que pueden armarse para realizar ataques a la cadena de suministro a gran escala.<\/p>\n<p>Esto se logra aprovechando una acci\u00f3n de GitHub que est\u00e1 configurada en el repositorio para publicar autom\u00e1ticamente los paquetes cuando se env\u00edan nuevos cambios de c\u00f3digo.<\/p>\n<p>&#8220;Aunque la cuenta de usuario npm del mantenedor est\u00e1 configurada correctamente con [two-factor authentication]este token de automatizaci\u00f3n lo pasa por alto&#8221;, dijo Bogdan Kortnov, cofundador y CTO de Illustria.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1676581562_870_Los-investigadores-secuestran-el-popular-paquete-NPM-con-millones-de.png\" alt=\"Paquete NPM\" border=\"0\" data-original-height=\"702\" data-original-width=\"728\" title=\"Paquete NPM\"\/><\/div>\n<p>Illustria no revel\u00f3 el nombre del m\u00f3dulo, pero se\u00f1al\u00f3 que se comunic\u00f3 con su mantenedor, quien desde entonces ha tomado medidas para proteger la cuenta.<\/p>\n<p>Esta no es la primera vez que las cuentas de desarrolladores se encuentran vulnerables a adquisiciones en los \u00faltimos a\u00f1os.  En mayo de 2022, un actor de amenazas registr\u00f3 un dominio vencido utilizado por el mantenedor asociado con el paquete ctx Python para tomar el control de la cuenta y distribuy\u00f3 una versi\u00f3n maliciosa.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/researchers-hijack-popular-npm-package.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de febrero de 2023\ue804Ravie Lakshman\u00e1nCadena de Suministro \/ Seguridad del Software Un popular paquete npm con m\u00e1s<\/p>\n","protected":false},"author":1,"featured_media":629016,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,99,54386,4662,12583,4668,4667,36,327,4654,4658,4659,4653,4655,7359,1239,3243,4663,25909,4666,4665,4660],"class_list":["post-629015","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-descargas","tag-filtracion-de-datos","tag-investigadores","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-millones","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-npm","tag-paquete","tag-popular","tag-programa-malicioso-ransomware","tag-secuestran","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/629015","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=629015"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/629015\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/629016"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=629015"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=629015"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=629015"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}