Gusano Mini Shai-Hulud: el devastador ataque a GitHub y npm por TeamPCP

rojo limitando la capacidad de escritura de tokens OIDC (id-token: write) y lectura de contenidos (contents: read) únicamente a los flujos de trabajo estrictamente verificados. Evite el uso del disparador inseguro pull_request_target de fuentes externas sin una pre-aprobación estricta del código.

Monitoreo de creación de repositorios públicos: Implemente reglas de alerta automatizadas a nivel de organización en GitHub para detectar de inmediato la generación inesperada de tokens de acceso personal (PATs) o la creación no autorizada de repositorios públicos por parte de cuentas de desarrolladores de la empresa. La aparición de repositorios extraños es la firma de una exfiltración en curso.

Implementación de políticas de control de salida (Egress Filtering): Restrinja la conectividad de red saliente de los corredores de CI/CD (runners). Bloquee el acceso a internet para cualquier proceso de construcción que no requiera descargar dependencias externas en tiempo de ejecución, reduciendo la ventana de oportunidad para que el gusano realice consultas de red o cree depósitos de exfiltración.

Hacia un modelo de confianza cero en el desarrollo

La audaz campaña de TeamPCP demuestra que las metodologías de seguridad tradicionales basadas en la confianza implícita del ecosistema de código abierto ya no son suficientes. El software que consumimos diariamente no puede considerarse seguro por defecto, incluso si cuenta con