Postmortem del incidente de seguridad del proyecto ESLint

Ayer comentábamos el incidente de seguridad que había sufrido el proyecto ESLint. Acaban de publicar en su blog un análisis postmortem del incidente, donde resumen el problema, enumeran los paquetes afectados, detallan el método usado en el ataque, dan una serie de recomendaciones para evitar problemas similares y proporcionan una línea temporal donde mencionan cada e evento del incidente.

El paquete JavaScript eslint-scope comprometido

Un hacker ha comprometido una conocida librería JavaScript y la ha usado para robar credenciales:

Un hacker ha obtenido acceso a la cuenta npm de un desarrollador y ha inyectado código malicioso en una popular librería JavaScript, usando el código para robar las credenciales npm de los usuarios que utilizan el paquete envenenado dentro de sus proyectos.

El paquete JavaScript (npm) que se vio comprometido se llama eslint-scope, un submódulo del conocido paquete ESLint, un kit de herramientas de análisis de código JavaScript.

Comprometida la extensión de Chrome Hola VPN

Comprometida la extensión de Chrome Hola VPN:

Un hacker ha comprometido una cuenta de desarrollador de Hola VPN y ha reemplazado la extensión oficial de Chrome con una que redirigía a los usuarios del sitio web MyEtherWallet.com a una página de phishing controlada por el atacante.

Continúa leyendo «Comprometida la extensión de Chrome Hola VPN»