Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Ataque de Exfiltración de Tokens PyPI a través de Workflows de GitHub Actions

2025-09-20
Ataque de Exfiltración de Tokens PyPI a través de Workflows de GitHub Actions

Una reciente campaña de ataque se dirigió a los workflows de GitHub Actions para robar tokens de publicación de PyPI. Los atacantes modificaron workflows en varios repositorios, enviando tokens de PyPI almacenados como secretos de GitHub a servidores externos. Si bien algunos tokens fueron exfiltrados, no se utilizaron en PyPI. Todos los tokens afectados se han invalidado y se ha notificado a los mantenedores afectados. Se recomienda usar los Trusted Publishers de GitHub Actions para mitigar ataques futuros.

Leer más
(blog.pypi.org)
Desarrollo Brecha de Seguridad

PyPI refuerza la seguridad de la cuenta con comprobaciones de dominios caducados

2025-08-19
PyPI refuerza la seguridad de la cuenta con comprobaciones de dominios caducados

Para evitar ataques de resurrección de dominio, un tipo de ataque de cadena de suministro donde un atacante compra un dominio caducado para secuestrar cuentas de PyPI, PyPI ahora comprueba los dominios caducados. Esto mejora la seguridad de la cuenta al desverificar las direcciones de correo electrónico asociadas con los dominios caducados; más de 1800 direcciones de correo electrónico se han desverificado desde principios de junio de 2025. Si bien no es una solución perfecta, mitiga significativamente un vector de ataque importante. Se recomienda a los usuarios que agreguen una segunda dirección de correo electrónico verificada para una mayor seguridad.

Leer más
(blog.pypi.org)
Desarrollo resurrección de dominio

PyPI lanza cuentas de organización para mayor sostenibilidad

2025-05-13
PyPI lanza cuentas de organización para mayor sostenibilidad

El Índice de Paquetes de Python (PyPI) ha introducido cuentas de organización para mejorar la sostenibilidad de la plataforma y la experiencia del usuario. Esta función permite a los equipos crear cuentas autogestionadas con direcciones web exclusivas, simplificando la gestión para grandes proyectos y empresas que manejan múltiples subequipos y paquetes. Los proyectos de la comunidad pueden usar esto gratuitamente, mientras que los proyectos corporativos incurren en una pequeña tarifa. Todos los ingresos se reinvertirán en mejorar el soporte y la infraestructura de PyPI. Esto aborda el crecimiento de PyPI en descargas y ancho de banda, y permite tiempos de respuesta más rápidos. La función es totalmente opcional y no afectará a los usuarios existentes.

Leer más
(blog.pypi.org)
Desarrollo Cuentas de Organización

Cuarentena de Proyectos de PyPI: Un Nuevo Arma Contra el Malware

2025-01-05
Cuarentena de Proyectos de PyPI: Un Nuevo Arma Contra el Malware

El Índice de Paquetes de Python (PyPI) ha introducido una función de 'Cuarentena de Proyectos' para combatir el persistente problema del malware. Esta función permite a los administradores de PyPI marcar proyectos potencialmente dañinos, evitando su fácil instalación por parte de los usuarios y mitigando los daños. En lugar de la eliminación total, los proyectos se ocultan del índice simple, permaneciendo modificables por los propietarios (pero no lanzables), con los administradores manteniendo la capacidad de levantar la cuarentena. Los planes futuros incluyen automatizar la cuarentena en función de múltiples informes creíbles, mejorando la eficiencia y reduciendo el margen de tiempo para la propagación de malware.

Leer más
(blog.pypi.org)
Desarrollo

Ataque a la cadena de suministro afecta a Ultralytics: Análisis de incidente de seguridad de PyPI

2024-12-14
Ataque a la cadena de suministro afecta a Ultralytics: Análisis de incidente de seguridad de PyPI

El proyecto Python Ultralytics sufrió recientemente un ataque a la cadena de suministro. Los atacantes comprometieron los flujos de trabajo de GitHub Actions del proyecto y robaron un token de API de PyPI, lo que resultó en versiones contaminadas 8.3.41, 8.3.42, 8.3.45 y 8.3.46. El ataque no explotó una vulnerabilidad de PyPI, sino el caché de GitHub Actions. PyPI, utilizando la Publicación de Confianza y los registros de transparencia de Sigstore, identificó y eliminó rápidamente el malware. El incidente destacó deficiencias en las configuraciones de tokens de API y entornos de GitHub. El artículo enfatiza la seguridad de las forjas de software y los flujos de trabajo de compilación/publicación, proporcionando recomendaciones de seguridad para los desarrolladores: usar Publicadores de Confianza, bloquear dependencias, evitar patrones inseguros y habilitar la autenticación multifactorial.

Leer más
(blog.pypi.org)
Desarrollo ataque a la cadena de suministro seguridad de PyPI seguridad de software