Ocasionalmente se pueden presentar ataques mal intencionados contra cualquier entidad tecnológica. Esto ocurrió en días pasados, cuando se introdujeron bibliotecas malintencionada de Python, cuyo propósito era controlar equipos de forma remota.
En este contexto, a medida que se está desarrollando más software además de las bibliotecas compartidas, por ejemplo, un proyecto web rápido que solo tenía unas 100 líneas de código propio, pero más de 10 bibliotecas de NPM, esto genera un riesgo creciente para todos.
La comunidad ahora tiene que empezar a adoptar una postura más proactiva sobre 'LibSec', [la] seguridad de las bibliotecas públicas importadas, y ahora hay incluso empresas que operan en ese espacio, como Snyk.
Por esa razón y muchas otras más no menos importantes, es que te recomendamos este curso de python profesional, el cual lo imparten de manera presencial o en linea, con instructores expertos en este lenguaje de programación.
Al igual que con los paquetes NPM de Birsan, afortunadamente los paquetes PyPi, de Python, no parecían contener ningún código malicioso, lo que le dio al ecosistema de desarrollo de software una saludable llamada de atención sobre la amenaza. Los paquetes "eran bibliotecas de marcadores de posición vacías".
Para los desarrolladores fue una suerte, según dicen, encontrar este ataque que afectaba la seguridad de PiPy de Python. Parece que fue una prueba ejecutada por alguien, pero se puede ver fácilmente un escaneo automático de secuencias de comandos en busca de paquetes privados y la implementación de paquetes maliciosos públicos en estos ecosistemas como una forma de acceder a muchas empresas que no están tan despiertas en el lado de la seguridad.
Además, sel identificó tres bibliotecas falsas creadas por una cuenta PyPi, de Python, desconocida que estaban siendo utilizadas por cuatro productos: Qentinel Pace, QWeb, QVision y QMobile. Dado que pip de Python toma de forma predeterminada las bibliotecas de PyPi, se obtuvieron esas bibliotecas externas, pero no las bibliotecas reales de los repositorios privados, lo cual libero a los atacados del desastre. Por eso, los repositorios públicos recién creados no contenían su código fuente, por lo que las dependencias fallaron en la compilación.
El comportamiento inseguro de Pip se centró en el parámetro –extra-index-url, que verifica si la biblioteca existe en los índices de paquetes especificados y públicos, luego, si se encuentra más de una versión, instala el paquete con el número de versión más alto. Todo lo que tuvo que hacer el atacante de Python en PyPi fue cargar una biblioteca con un número de versión muy alto.
Este problema debe resolverse en el nivel de la tubería de construcción al actualizar el comportamiento predeterminado de pip y otras herramientas. Mientras tanto, los desarrolladores pueden mitigar el problema usando solo -index-url para especificar la dirección del repositorio personalizado del pip, recuperando así el paquete del repositorio personalizado, en lugar de público. Así se asegura la seguridad del desarrollo en Python, por lo menos por el momento
Los especialistas aconsejan a sus clientes que purguen todos los cachés en sus pipelines de compilación que puedan contener los repositorios de Python falsos y verifiquen que sus scripts de compilación estén configurados correctamente. También recomiendan que cualquier persona que haya actualizado o instalado Pace Connect entre el 15 y el 17 de febrero vuelva a instalar los paquetes. Con estos pasos, se garantiza la seguridad de PiPy de Python.
Diseño Web Grupo Codesi