Lecciones en defensa
Barr señaló que mayores privilegios en los canales de CI/CD los convierten en un objetivo ideal. Los atacantes que comprometen un ejecutor de compilación pueden inyectar código en la fuente, firmar autorizaciones con credenciales legítimas o enviar artefactos que parezcan auténticos.
Las mitigaciones, recomendó Cipot, incluirían tokens de alcance corto y de corta duración con rotaciones secretas regulares. El escaneo automatizado en busca de paquetes sospechosos utilizando herramientas como Socket.dev o Phylum también podría ayudar a anticiparse a la amenaza. Otras formas de verificar la autenticidad del paquete incluyen la validación de la suma de verificación y estándares emergentes como tienda de firmasañadió.
Jason Soroko, investigador principal de Sectigo, aconseja una respuesta inmediata para los equipos potencialmente afectados. «Busque el código fuente, archivos de bloqueo, cachés y registros para @acitons y 8jfiesaf83 y luego ponga en cuarentena a los corredores que los hayan recuperado», dijo. «Rote todos los tokens y revise los artefactos y el historial de publicación de paquetes para el período comprendido entre el 29 de octubre y el 6 de noviembre de 2025».
