Ataque a la cadena de suministro afecta a Ultralytics: Análisis de incidente de seguridad de PyPI

2024-12-14

El proyecto Python Ultralytics sufrió recientemente un ataque a la cadena de suministro. Los atacantes comprometieron los flujos de trabajo de GitHub Actions del proyecto y robaron un token de API de PyPI, lo que resultó en versiones contaminadas 8.3.41, 8.3.42, 8.3.45 y 8.3.46. El ataque no explotó una vulnerabilidad de PyPI, sino el caché de GitHub Actions. PyPI, utilizando la Publicación de Confianza y los registros de transparencia de Sigstore, identificó y eliminó rápidamente el malware. El incidente destacó deficiencias en las configuraciones de tokens de API y entornos de GitHub. El artículo enfatiza la seguridad de las forjas de software y los flujos de trabajo de compilación/publicación, proporcionando recomendaciones de seguridad para los desarrolladores: usar Publicadores de Confianza, bloquear dependencias, evitar patrones inseguros y habilitar la autenticación multifactorial.