## Cadena de Suministro Bajo Asedio: CISA Responde a Amenazas Emergentes **CISA** está expresando su preocupación por múltiples campañas emergentes de intrusión en la cadena de suministro de software que atacan específicamente a los ecosistemas de desarrolladores y a los pipelines de Integración Continua/Desarrollo Continuo (CI/CD). Estos ataques explotan vulnerabilidades en herramientas y procesos que soportan entornos empresariales, en la nube y DevOps. ### GitHub Comprometido a través de Extensión Maliciosa de VS Code Actores de amenazas aprovecharon un compromiso previo de sistemas de desarrolladores de **Nx** para comprometer el dispositivo de un empleado de **GitHub** a través de una extensión de VS Code de terceros envenenada. Esto resultó en acceso no autorizado y exfiltración de repositorios internos de **GitHub**. La extensión maliciosa, versión 18.95.0 de **Nx Console**, se distribuyó a través del mecanismo de actualización automática de VS Code. Los sistemas con **Nx Console** previamente instalados pudieron haber recibido la compilación maliciosa sin ninguna acción manual por parte de los desarrolladores. **GitHub** emitió un [aviso de seguridad](https://github.com/nrwl/nx-console/security/advisories/GHSA-c9j4-9m59-847w) sobre este incidente, y se ha asignado **CVE-2026-48027** a la versión maliciosa de **Nx Console**, agregándola al [Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA](https://www.cisa.gov/known-exploited-vulnerabilities-catalog). ### Campaña 'Megalodon': Inyección de Flujos de Trabajo Maliciosos En una campaña denominada 'Megalodon', los actores de amenazas inyectaron flujos de trabajo maliciosos de **GitHub** Actions para recolectar secretos de CI/CD, credenciales de la nube y tokens. Esto afectó tanto a los pipelines de desarrollo como a los de despliegue en repositorios públicos de **GitHub**. ### Recomendaciones de CISA para Detección y Remediación **CISA** insta a las organizaciones a implementar las siguientes recomendaciones para detectar y remediar posibles compromisos: * Monitorear y auditar archivos de flujo de trabajo y actividad de contribuyentes en busca de pull requests sospechosas y commits directos, especialmente aquellos autorizados por cuentas automatizadas. * Revertir cambios no autorizados, particularmente aquellos provenientes de cuentas automatizadas (por ejemplo, `build-bot`, `auto-ci`, `ci-bot`, `pipeline-bot`), especialmente aquellos realizados después del 18 de mayo de 2026. ### Pasos de Respuesta a Incidentes Si su organización descubre un compromiso resultante de software **GitHub** o **Nx Console** previamente comprometido, **CISA** recomienda los siguientes pasos: * Realizar una revisión forense de los logs de CI/CD, rastros de auditoría en la nube y máquinas de desarrolladores afectadas. * Rotar/revocar todos los secretos, incluidas credenciales, tokens y secretos accesibles para los pipelines de CI/CD, como claves API, credenciales de proveedores de la nube (**Amazon Web Services**, **Google Cloud Platform**, **Microsoft Azure**), claves SSH, tokens de **Docker**/**npm**/**PyPI**/**Vault**/**Terraform**/**Kubernetes**, tokens de **GitHub**/**GitLab**/**Bitbucket**, y secretos de desarrolladores o pipelines. * Notificar a las partes interesadas relevantes según sea necesario. ### Mejores Prácticas para Repositorios de Paquetes **CISA** recomienda estas mejores prácticas para el uso de repositorios de paquetes: * Esperar al menos tres horas antes de descargar un nuevo paquete para dar tiempo a la comunidad de software a identificar paquetes sospechosos o maliciosos. * Fijar el software a versiones específicas y confiables para evitar descargar un paquete malicioso o no revisado durante el proceso de compilación. * Descargar paquetes solo de fuentes conocidas y confiables para reducir la probabilidad de descargar un paquete maliciosamente bifurcado. ### Recursos Consulte estos recursos para obtener más información sobre estos compromisos: * GitHub: [Investigating unauthorized access to GitHub-owned repositories](https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/) * Nx: [Postmortem: Nx Console v18.95.0 supply-chain compromise](https://nx.dev/blog/nx-console-v18-95-0-postmortem) * Ox Security: [Megalodon: CI/CD Malware Spreading Across GitHub Repositories](https://www.ox.security/blog/megalodon-cicd-malware-github/) * StepSecurity: [Nx Console VS Code Extension Compromised](https://www.stepsecurity.io/blog/nx-console-vs-code-extension-compromised#indicators-of-compromise) * SafeDep: [Megalodon: Mass GitHub Repo Backdooring via CI Workflows](https://safedep.io/megalodon-mass-github-repo-backdooring-ci-workflows/) ## Descargo de Responsabilidad La información en este informe se proporciona "tal cual" solo con fines informativos. **CISA** no respalda ninguna entidad comercial, producto, empresa o servicio, incluidas las entidades, productos o servicios enlazados dentro de este documento.