Menéame: comentarios [3537870]

#9 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

Kilotrón — Wed, 04 Aug 2021 11:44:09 +0000

"Donde hay paquete, hay oportunidad para un ciber-perrete".
(el cuñado de Zuckerberg)

» autor: Kilotrón

#8 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

rogerius — Wed, 04 Aug 2021 08:54:57 +0000

#1 Si lleva dos pes, ya se sabe. PP, pipí, popó…

» autor: rogerius

#7 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

gilipipas — Wed, 04 Aug 2021 06:43:52 +0000

#6 en mi empresa no nos dejan usar npm y estoy tirando de JavaScript vanilla para todo, no react, no redux, no librerías de router... La verdad es que sorprendentemente me estoy arreglando bastante bien tirando de web components.

» autor: gilipipas

#6 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

pakorrito — Wed, 04 Aug 2021 06:36:47 +0000

#3 y esos paquetes usaran paquetes de los que no tienes control alguno.

No entiendo como a alguien le pudo parecer buena idea pasar a este modelo de hyperdependencias que tenemos ahora en los lenguajes de programación.

Si construyes una aplicación de Electron, con node, el numero de mensajes que salen por la consola tipo "No uses este paquete, está abandonado y podría tener agujeros de seguridad" es para cerrar la ventana y salir corriendo.

» autor: pakorrito

#5 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

Putin.es.tu.papa — Wed, 04 Aug 2021 05:49:57 +0000

Hombre no jodas, a mi me llega un correo desde una plataforma llamada "Pypi" y soy gilipollas si accedo a ese correo.
Pa'hacer pypi y no echar gota.

» autor: Putin.es.tu.papa

#4 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

sillycon — Wed, 04 Aug 2021 05:41:31 +0000

¿Cuál es la diferencia entre ataque a la cadena de suministro y ataque de watering hole?

En cualquier caso, hay que tener mucho cuidado. Me resulta alucionante que haya repositorios de código abiertos y sin verificación.

» autor: sillycon

#3 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

prejudice — Wed, 04 Aug 2021 05:36:03 +0000

Yo de momento la única medida que tomo es evitar usar paquetes poco populares o demasiado recientes, pero dentro de poco esa medida será insuficiente

» autor: prejudice

#2 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

Remenad0r — Wed, 04 Aug 2021 01:16:23 +0000

#1 yo te doy 6 puntos, no te doy más porque es obvio.

Los supply chain attack no son novedad, ya se hizo con npm y ahora con Python y lo que sea. Esta gente tiene un repositorio de datos Artifactory, de ahí estos artículos pero el problema principal es la gente instalando cualquier mierda. O inyectando repos enteros sin verificar.

Lo mismo ocurre con Dockerhub.

» autor: Remenad0r

#1 JFrog detecta paquetes PyPI maliciosos que roban tarjetas de crédito e inyectan código [inglés]

mcfgdbbn3 — Tue, 03 Aug 2021 23:44:43 +0000

Lo de la seguridad es como para hacerse PyPl y no echar gota...

» autor: mcfgdbbn3