El ataque que lo cambió todo
El registro npm acaba de sobrevivir a uno de sus ataques más sofisticados. El pasado 14 de septiembre de 2025, el gusano Shai-Hulud se infiltró en el ecosistema JavaScript comprometiendo cuentas de mantenedores. A diferencia del malware típico, este gusano se autorreplicaba mediante scripts post-install, convirtiendo paquetes de confianza en vectores de ataque. GitHub reaccionó eliminando más de 500 paquetes, pero el incidente dejó clara una realidad: la autenticación actual es insuficiente.
Nueva hoja de ruta de seguridad
GitHub ha anunciado cambios inmediatos y radicales para proteger la cadena de suministro:
- Publicación local con 2FA obligatorio: Se acabó saltarse el doble factor por conveniencia.
- Tokens granulares: Los tokens de larga duración desaparecen en favor de credenciales que expiran a los 7 días.
- Depreciación de tecnologías antiguas: Los tokens clásicos (“legacy”) y las contraseñas de un solo uso (TOTP) serán reemplazados gradualmente por autenticación basada en FIDO (WebAuthn).
El futuro es “Trusted Publishing”
La piedra angular de esta nueva estrategia es el Trusted Publishing. Este método elimina la necesidad de almacenar tokens de API en los sistemas de CI/CD. En su lugar, el registro de paquetes verifica la identidad directamente a través del entorno de construcción (como GitHub Actions).
Al no haber tokens almacenados, no hay secretos que robar. OpenSSF y GitHub recomiendan a todos los mantenedores migrar a este sistema inmediatamente y auditar sus tokens actuales, ya que la seguridad del ecosistema depende del eslabón más débil.
Fuente original: How GitHub Plans to Secure npm - DevOps.com