### El ataque a la cadena de suministro de Nx «s1ngularity» provoca la filtración masiva de credenciales en proyectos NPM

#### Introducción

Durante las últimas semanas, la comunidad de ciberseguridad ha sido testigo de una de las brechas más significativas en el ecosistema de desarrollo JavaScript: el ataque supply chain a Nx, conocido como “s1ngularity”. Este incidente ha resultado en la exposición de miles de tokens de cuentas y secretos de repositorios, afectando tanto a desarrolladores individuales como a organizaciones que dependen de paquetes NPM para sus proyectos críticos. En este artículo se analizan en profundidad los detalles técnicos del ataque, sus consecuencias y las acciones recomendadas para mitigar los riesgos asociados.

#### Contexto del Incidente o Vulnerabilidad

El ataque supply chain dirigido al popular framework de monorepos Nx se detectó a mediados de junio de 2024 y rápidamente escaló en gravedad tras confirmarse que actores maliciosos habían comprometido versiones legítimas de paquetes NPM. Aprovechando la popularidad de Nx (utilizado por empresas como Google, Microsoft y Amazon), los atacantes lograron insertar código malicioso en versiones oficiales, propagando la amenaza a miles de desarrolladores y pipelines de CI/CD que integran estos paquetes en sus flujos de trabajo.

La campaña, bautizada como “s1ngularity”, fue identificada tras la detección de comportamientos anómalos en repositorios GitHub y NPM. Investigadores de seguridad confirmaron que los paquetes comprometidos exfiltraban tokens de acceso, llaves de API y variables de entorno sensibles hacia servidores controlados por los atacantes.

#### Detalles Técnicos

El vector de ataque principal consistió en la inyección de código JavaScript ofuscado en versiones de Nx publicadas en NPM. Dicho código, al ejecutarse durante las instalaciones o scripts post-install, recolectaba variables de entorno relacionadas con autenticación y despliegue (por ejemplo, `NPM_TOKEN`, `GITHUB_TOKEN`, `AWS_SECRET_ACCESS_KEY`). Posteriormente, los datos eran cifrados y enviados mediante peticiones HTTPS a endpoints remotos bajo control de los atacantes.

– **CVE asociado:** A la fecha, se ha asignado el identificador CVE-2024-35255 a las versiones afectadas de Nx, que comprenden las releases entre la 17.0.0 y la 17.3.2, publicadas entre el 9 y el 14 de junio de 2024.
– **TTPs (MITRE ATT&CK):**
– **Initial Access:** Supply Chain Compromise (T1195.002)
– **Credential Access:** Unsecured Credentials (T1552)
– **Exfiltration:** Exfiltration Over C2 Channel (T1041)
– **IoCs identificados:**
– Dominios de C2: `s1ngularity-node[.]com`, `nx-malicious[.]cc`
– Hashes de paquetes maliciosos y patrones de URLs de exfiltración específicos.
– **Herramientas y frameworks utilizados:** Aunque el ataque no recurrió a exploits automáticos conocidos como Metasploit, sí empleó frameworks de ofuscación y empaquetado de JavaScript para evadir la detección por parte de soluciones de seguridad tradicionales.

#### Impacto y Riesgos

El alcance del incidente es considerable: se estima que más de 5.700 proyectos públicos y privados integraron versiones contaminadas de Nx, provocando la filtración de aproximadamente 15.000 tokens y secretos únicos. Entre los datos comprometidos se encuentran credenciales de acceso a repositorios GitHub, llaves de despliegue de servicios cloud (AWS, Azure, GCP) y tokens de publicación de paquetes NPM.

El principal riesgo reside en el uso posterior de estas credenciales robadas para realizar ataques de escalada de privilegios, manipulación de código fuente, secuestro de cuentas y despliegue de malware adicional. Además, el incidente expone a las organizaciones a sanciones regulatorias bajo el GDPR y la inminente directiva NIS2, dada la naturaleza sensible de los datos afectados.

#### Medidas de Mitigación y Recomendaciones

– **Revocación inmediata de todas las credenciales expuestas:** NPM, GitHub, AWS y otros proveedores han recomendado el reseteo y ciclo forzado de tokens generados entre el 9 y el 15 de junio de 2024.
– **Auditoría exhaustiva de dependencias:** Analizar el lockfile (`package-lock.json` o `yarn.lock`) y eliminar cualquier referencia a versiones afectadas de Nx.
– **Monitorización de logs y actividades sospechosas:** Revisar logs de acceso y eventos de CI/CD en busca de accesos no autorizados o actividades anómalas posteriores al incidente.
– **Implementación de controles adicionales:** Uso de herramientas como Snyk, Dependabot o npm audit para identificación temprana de paquetes comprometidos.
– **Reforzar políticas de mínimos privilegios y rotación regular de credenciales.**

#### Opinión de Expertos

Expertos como Daniel García (CISO en una multinacional tecnológica) señalan que “el ataque a Nx evidencia la urgencia de aplicar controles de integridad y verificación de firmas en toda la cadena de suministro del software”. Desde el CERT español, destacan que “la velocidad de propagación de este tipo de ataques obliga a las organizaciones a adoptar modelos de confianza cero (Zero Trust) y segmentar tanto redes como permisos en entornos de desarrollo”.

#### Implicaciones para Empresas y Usuarios

Las organizaciones afectadas deben considerar este incidente como una llamada de atención frente a la creciente sofisticación de las amenazas supply chain. Más allá del impacto inmediato, la filtración de secretos puede derivar en ataques persistentes, espionaje industrial y pérdida de propiedad intelectual. Para los usuarios individuales y equipos DevOps, se refuerza la necesidad de no exponer secretos en variables de entorno accesibles durante los procesos de build y despliegue.

La tendencia del mercado apunta a una mayor adopción de soluciones de gestión de secretos (como HashiCorp Vault o AWS Secrets Manager) y la integración de escaneos automáticos de seguridad en los pipelines CI/CD.

#### Conclusiones

El ataque “s1ngularity” a Nx representa uno de los incidentes más graves y sofisticados de los últimos años en el ecosistema NPM. La filtración masiva de tokens y secretos subraya la vulnerabilidad inherente a la cadena de suministro de software moderno y la necesidad de adoptar medidas preventivas tanto técnicas como organizativas. Solo una vigilancia constante y la actualización continua de procesos y herramientas permitirá reducir la superficie de exposición ante futuras campañas similares.

(Fuente: www.bleepingcomputer.com)