NPM cambia drásticamente sus políticas de seguridad tras una ola de hackeos

La violación de un paquete popular puede afectar a miles de proyectos, por eso npm introduce una nueva protección para las cuentas de las que dependen las bibliotecas más solicitadas del registro. Ahora, al cambiar la dirección de correo electrónico o al usar un código de recuperación de la autenticación de dos factores, dichas cuentas pasan automáticamente a modo de solo lectura durante 72 horas.

La medida está dirigida a prevenir la toma de control de cuentas que mantienen paquetes. En ataques recientes contra la cadena de suministro, los atacantes obtenían acceso a una cuenta, cambiaban el correo vinculado, emitían un token nuevo y publicaban versiones maliciosas de los paquetes. El bloqueo temporal de acciones peligrosas debe romper esa cadena inmediatamente después de un cambio sensible en el perfil.

Durante el periodo de 72 horas los paquetes siguen estando disponibles para instalarse y descargarse. Los propietarios de cuentas también pueden ver organizaciones, equipos, la configuración de la cuenta y de los paquetes, pero no pueden publicar nuevas versiones, gestionar tokens, cambiar la visibilidad de los paquetes ni modificar la composición de organizaciones y equipos.

La antigua dirección de correo electrónico recibe una señal adicional. npm envía la advertencia a esa dirección para que el verdadero propietario pueda detectar un cambio sospechoso si el acceso a la cuenta ya ha sido comprometido. El acceso completo se restablece automáticamente tras 72 horas; no se requiere una confirmación adicional.

Si el modo de solo lectura se activa inesperadamente o se necesita ayuda durante la restricción, npm recomienda contactar con el soporte de npm. A los desarrolladores que mantienen paquetes populares también se les aconseja vigilar cuidadosamente los correos sobre cambios en los datos de la cuenta y guardar con cuidado los códigos de recuperación de la autenticación de dos factores.