Casi me hackean: ataques a la cadena de suministro y GitHub Actions fuera de control

Descubre cómo un PR y un lockfile manipulados pueden robar credenciales en Node.js y qué prácticas de CI/CD, dependencias y seguridad evitan ataques.

12 sept 2025 • 6 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

Casi me hackearon: así es como intentaron convertir un repositorio inocente de Node.js en una máquina para robar credenciales y por qué tu siguiente pull request no siempre es ayuda

Estaba revisando un PR en mi antiguo proyecto REST API en Node.js cuando vi algo raro en el package-lock.json que hizo saltar todas las alarmas. Un contribuidor anónimo abrió una solicitud para añadir CI/CD con GitHub Actions y otro colaborador la aprobó casi de inmediato. Lo que empezó como una revisión rutinaria de dependencias se convirtió en una inmersión en una campaña de ataque a la cadena de suministro dirigida a desarrolladores.

Qué es un ataque a la cadena de suministro: es cuando actores maliciosos introducen código peligroso, ladrones de credenciales o scripts comprometidos en dependencias, scripts de construcción o pipelines de CI/CD. En lugar de atacar miles de repositorios uno por uno, el atacante envenena el upstream. Cuando hacemos npm update no auditamos cada línea; confiamos en el ecosistema, y eso es exactamente lo que explotan.

La prueba evidente: el lockfile había sido manipulado. Antes el bloque de @types/body-parser aparecía con requires y versiones fijadas; después alguien lo cambió para usar dependencies con comodines para @types/connect y @types/node. Esos asteriscos indican que npm puede instalar cualquier versión disponible, lo que anula el anclaje de versiones y permite que si esos paquetes son comprometidos en el futuro, la siguiente instalación traiga la versión maliciosa automáticamente.

El PR parecía inofensivo: añadía un workflow con errores evidentes como comentarios con faltas de ortografía, configuración de ramas incorrecta que impediría su ejecución inmediata y el uso de npm install en lugar de npm ci. Todo esto encaja con la táctica de campañas como GhostAction: enviar PRs que parezcan bienintencionados, introducir fallos a propósito para evitar ejecución inmediata y esperar a que un mantenedor los 'solucione' antes de que la acción maliciosa se active y exfiltre secretos.

Si hubiera fusionado ese PR tras corregir la rama, la acción habría ejecutado npm install, npm habría resuelto los comodines del lockfile y podría haber instalado versiones comprometidas de paquetes de tipos que a simple vista no parecen peligrosos. En un entorno de CI con permisos para acceder a secretos hubieran podido capturar variables como AWS_SECRET_ACCESS_KEY, DATABASE_URL o tokens de despliegue y desde ahí pivotar a despliegues con puertas traseras, robo de datos, minería de criptomonedas o movimiento lateral hacia otros sistemas.

Este escenario no es aislado. Investigaciones de seguridad han documentado campañas que comprometen cuentas de mantenedores de paquetes y usan GitHub Actions para extraer secretos de pipelines. Repositorios con dependencias antiguas son objetivos perfectos porque funcionan hasta que dejan de hacerlo de forma segura.

Señales de alerta que detecté y que deberías vigilar: contribuyentes con historial mínimo, nombres de usuario aleatorios, PRs no solicitados que tocan CI/CD, cambios en lockfiles que introducen comodines en lugar de versiones fijas, uso de npm install en workflows, y sincronía con noticias de compromisos en el ecosistema npm.

Qué puede salir mal si ocurre una exfiltración: en el CI se pueden ejecutar comandos que impriman variables de entorno y enviarlas a servidores externos. Con esas credenciales se pueden desplegar backdoors en producción, acceder a bases de datos con datos de clientes, o escalar el ataque a infraestructura en AWS o Azure. El radio de impacto es enorme porque los pipelines suelen tener permisos elevados para desplegar y acceder a servicios cloud.

Buenas prácticas que implementamos en Q2BSTUDIO y que recomiendo aplicar ahora mismo

Higiene del lockfile: usar siempre npm ci en entornos de CI para instalar exactamente lo que está en el lockfile y evitar npm install en pipelines porque puede actualizar versiones de forma inesperada. Mantén lockfiles con dependencias fijadas y revisa cambios en ellos con especial atención.

Seguridad en CI/CD: valida workflows antes de permitir que se ejecuten. Corrige las reglas de ramas para que solo se ejecuten en las ramas correctas y habilita protección de ramas que requiera revisiones antes de fusionar. Limita quién puede modificar workflows y usa checks que auditen cambios en archivos que tocan secretos o dependencias.

Gestión de dependencias: programa mantenimiento regular con herramientas como dependabot y revisa vulnerabilidades con npm audit. Automatiza actualizaciones dentro de rangos semver y prioriza parches críticos. En Q2BSTUDIO ofrecemos servicios de mantenimiento de dependencias y auditoría que ayudan a reducir este riesgo.

Revisión de PRs: establece políticas claras cuando una PR modifica CI/CD o lockfiles. Pregunta quién es el contribuidor, por qué se proponen cambios, qué permisos se otorgan y si hay motivos para desconfiar. Recuerda que errores evidentes pueden ser deliberados para evitar ejecución inmediata.

Protecciones adicionales: restringe acceso a secretos, gasta menor privilegio en tokens de CI, rota credenciales periódicamente y habilita detección de secretos y alertas en tus repositorios. Integra pruebas de seguridad antes del merge y exige que los workflows pasen chequeos de seguridad.

Herramientas y servicios que complementan la prevención: usar pentesting y auditorías de ciberseguridad para validar flujos críticos, migrar cargas a servicios cloud con configuración segura en AWS y Azure, y aplicar monitorización continua. Si tu empresa necesita reforzar su postura de seguridad, en Q2BSTUDIO somos especialistas en ciberseguridad y pentesting y podemos ayudarte a desplegar medidas defensivas efectivas servicios de ciberseguridad y pentesting.

Además ofrecemos desarrollo de soluciones a medida para asegurar que tus aplicaciones se construyan con prácticas seguras desde el diseño, desde aplicaciones móviles hasta plataformas web. Si buscas mejorar o construir software escalable y seguro, consulta nuestros servicios de desarrollo de aplicaciones y software a medida desarrollo de aplicaciones multiplataforma.

Palabras clave y capacidades que aplicamos en Q2BSTUDIO: aplicaciones a medida, software a medida, inteligencia artificial para optimizar detección de amenazas, ciberseguridad aplicada a pipelines, servicios cloud AWS y Azure, servicios de inteligencia de negocio y Power BI para visualizar riesgos, agentes IA para automatizar respuestas y soluciones de IA para empresas. Nuestra oferta combina desarrollo con seguridad para que la innovación no sacrifique la protección.

La parte humana: los ataques a la cadena de suministro explotan la confianza. Queremos ser útiles, aceptar contribuciones y corregir errores rápidamente. Pero en la era de ataques automatizados y paquetes comprometidos, conviene ser cauteloso. Desconfía de PRs no solicitados que toquen workflows, revisa cambios en lockfiles, exige doble verificación y automatiza auditorías de seguridad.

Lecciones resumidas: confiar sí, pero verificar siempre; mantener dependencias actualizadas; usar lockfiles correctamente y preferir npm ci en CI; asegurar pipelines y limitar permisos; formarse continuamente y aplicar controles automáticos. La comunidad de código abierto es valiosa, no la abandones, pero protégete.

Si necesitas apoyo para auditar pipelines, mejorar la seguridad de tus repositorios, o desarrollar soluciones de inteligencia artificial y business intelligence seguras, en Q2BSTUDIO podemos ayudarte a implantar prácticas robustas y soluciones personalizadas que incluyen integración con servicios cloud, agentes IA y paneles de Power BI para controlar riesgos.

Permanece atento, revisa cada PR y recuerda que un pequeño cambio en un lockfile puede ser la puerta de entrada a un desastre. La buena noticia es que con procesos, herramientas y asesoramiento adecuados se puede reducir drásticamente ese riesgo y seguir construyendo software de calidad de forma segura.

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

Inteligencia artificial

Agentes de IA, chatbots y asistentes inteligentes que automatizan tareas y atienden a tus clientes 24/7 para mejorar la eficiencia de tu negocio.

Más info

Desarrollo de software

Aplicaciones web, móviles y de escritorio, intranets, e-commerce, SaaS y plataformas de gestión diseñadas para las necesidades concretas de tu empresa.

Más info

Servicios cloud

Migración, infraestructura, hosting gestionado, alta disponibilidad y seguridad en Microsoft Azure y Amazon Web Services para que tu negocio escale sin límites.

Más info

Ciberseguridad y pentesting

Auditorías de seguridad, test de intrusión (pentesting) y protección de aplicaciones, datos e infraestructura on-premise y cloud, con hacking ético y cumplimiento normativo.

Más info

Business Intelligence

Cuadros de mando y análisis de datos con Power BI: integramos tus fuentes, diseñamos dashboards y KPIs y convertimos tus datos en decisiones.

Más info

Automatización de procesos

Automatizamos tareas repetitivas y conectamos tus aplicaciones con n8n, Power Automate, Make y RPA, eliminando trabajo manual y aumentando la productividad.

Más info

Formación para empresas

Formamos a tus equipos en tecnología con criterio: desarrollo web, bases de datos, Git, buenas prácticas y seguridad, automatización con n8n, inteligencia artificial para empresas y creación de soluciones de IA con Azure AI Foundry.

Más info

Auditoría de código

Auditamos el código que creas tú, tu equipo o una IA: te decimos qué está bien y qué mejorar, lo securizamos y lo dejamos listo para producción, web o app.

Más info

Generación de imágenes con IA

Creamos por ti las imágenes que necesita tu negocio con inteligencia artificial: producto, redes, publicidad, ilustración y avatares. Tú nos dices qué quieres y te lo entregamos listo para usar.

Más info

Generación de vídeos con IA

Creamos por ti vídeos con inteligencia artificial: promocionales, para redes, presentadores virtuales, doblaje y animaciones. Nos cuentas la idea y te lo entregamos montado y listo para publicar.

Más info

Avatares conversacionales con IA

Creamos avatares conversacionales con IA —humanos digitales con cara y voz— que atienden a tus clientes y equipos con el conocimiento de tu empresa, en tu web, monitores interactivos, WhatsApp o Teams.

Más info

Marketing Online e IA

Google Ads, Meta Ads, LinkedIn Ads y posicionamiento en motores de IA (GEO/AEO): captamos clientes y hacemos que tu marca aparezca donde te buscan, también en ChatGPT, Gemini y Perplexity.

Más info

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.