Los repositorios de paquetes de software se están convirtiendo en un objetivo popular para atacar proyectos. Recientemente han habido noticias de malware en repositorios populares como npm, PyPI y RubyGems. Los desarrolladores confían ciegamente en los repositorios e instalan paquetes de estas fuentes, asumiendo que son seguros.
#3 y esos paquetes usaran paquetes de los que no tienes control alguno.
No entiendo como a alguien le pudo parecer buena idea pasar a este modelo de hyperdependencias que tenemos ahora en los lenguajes de programación.
Si construyes una aplicación de Electron, con node, el numero de mensajes que salen por la consola tipo "No uses este paquete, está abandonado y podría tener agujeros de seguridad" es para cerrar la ventana y salir corriendo.
#6 en mi empresa no nos dejan usar npm y estoy tirando de JavaScript vanilla para todo, no react, no redux, no librerías de router... La verdad es que sorprendentemente me estoy arreglando bastante bien tirando de web components.
#1 yo te doy 6 puntos, no te doy más porque es obvio.
Los supply chain attack no son novedad, ya se hizo con npm y ahora con Python y lo que sea. Esta gente tiene un repositorio de datos Artifactory, de ahí estos artículos pero el problema principal es la gente instalando cualquier mierda. O inyectando repos enteros sin verificar.
![JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]](https://cdn.mnmstatic.net/cache/35/fb/media_thumb_2x-link-3537870.jpeg?1628014386)
Comentarios
Yo de momento la única medida que tomo es evitar usar paquetes poco populares o demasiado recientes, pero dentro de poco esa medida será insuficiente
#3 y esos paquetes usaran paquetes de los que no tienes control alguno.
No entiendo como a alguien le pudo parecer buena idea pasar a este modelo de hyperdependencias que tenemos ahora en los lenguajes de programación.
Si construyes una aplicación de Electron, con node, el numero de mensajes que salen por la consola tipo "No uses este paquete, está abandonado y podría tener agujeros de seguridad" es para cerrar la ventana y salir corriendo.
#6 en mi empresa no nos dejan usar npm y estoy tirando de JavaScript vanilla para todo, no react, no redux, no librerías de router... La verdad es que sorprendentemente me estoy arreglando bastante bien tirando de web components.
Lo de la seguridad es como para hacerse PyPl y no echar gota...
#1 yo te doy 6 puntos, no te doy más porque es obvio.
Los supply chain attack no son novedad, ya se hizo con npm y ahora con Python y lo que sea. Esta gente tiene un repositorio de datos Artifactory, de ahí estos artículos pero el problema principal es la gente instalando cualquier mierda. O inyectando repos enteros sin verificar.
Lo mismo ocurre con Dockerhub.
#1 Si lleva dos pes, ya se sabe. PP, pipí, popó…
¿Cuál es la diferencia entre ataque a la cadena de suministro y ataque de watering hole?
En cualquier caso, hay que tener mucho cuidado. Me resulta alucionante que haya repositorios de código abiertos y sin verificación.
Hombre no jodas, a mi me llega un correo desde una plataforma llamada "Pypi" y soy gilipollas si accedo a ese correo.
Pa'hacer pypi y no echar gota.
"Donde hay paquete, hay oportunidad para un ciber-perrete".
(el cuñado de Zuckerberg)