Y lo que pasa en las mejores familias,<br>tenemos que hablar de los ataques en el<br>ecosistema de PHP. PHP, sí, muchas veces<br>hablamos de JavaScript, mucha gente se<br>queja de JavaScript. De hecho, me hizo<br>mucha mucha gracia el comentario de<br>Damián Catanzaro, no me salía el nombre<br>del chico este. Damián Catanzaro me hizo<br>mucha gracia porque, a ver si os lo<br>encuentro a este este comentario, porque<br>el otro día, por todos los ataques que<br>había en el ecosistema de JavaScript<br>comentaba esto, no estoy para volver a<br>PHP con jQuery y luego dice, "No se está<br>salvando un solo framework, se cancela<br>volver a PHP. Nos quedamos en HTML con<br>GQuery. ¿Y por qué? Porque resulta que<br>hemos tenido un nuevo ataque, la cadena<br>de suministro en la organización del<br>Arabel. Más de 700 versiones históricas<br>entre diferentes paquetes mantenidos por<br>la comunidad del Arabel fueron<br>comprometidos con puertas traseras para<br>ejecución de código en remoto. algunos<br>paquetes bastante importantes que son<br>descargados cientos de miles de veces en<br>el ecosistema de PHP, en Lara, Lara,<br>Lang L, http statuses, attributes,<br>actions, un montón y ha sido pues<br>bastante bastante preocupante, bastante<br>preocupante. Así que sí, esto es del<br>otro día, algunas versiones que<br>afectaban a la 12, 13, 14x, 15x, un<br>montón de versiones y con un impacto<br>bastante bastante bestia. Así que nada,<br>ahí lo tenéis. Todas las versiones<br>publicadas publicaron un montón, más de<br>700 versiones. O sea, una verdadera<br>salvajada lo que hicieron de publicar<br>versiones. Obviamente si instalaste una<br>de estas, estás bien [ __ ] Pero lo<br>peor es que no solo pilló el Arabel,<br>sino que también pilló Composer, PHP<br>Composer. Y en este caso el ataque de<br>estos ocho paquetes fue por culpa, no<br>por culpa, sino que utilizaron pack<br>Jason. El tema es que Composer utiliza<br>los packagons para ejecutar algunos<br>scripts y a partir de eso aquí podéis<br>ver los post install que estaba<br>utilizando para inyectar el script y<br>también poder infectarte. De hecho, aquí<br>podemos ver, a ver si lo encuentro,<br>githaub.com.<br>Esto es lo que estaba ejecutando. Vamos<br>a ver si lo podemos buscar por aquí. A<br>ver si hay alguno infectado todavía.<br>Aquí está. Aquí lo tenéis. ¿Ves este<br>tracking expos de Facebook? Aquí podéis<br>ver que lo tiene infectado. Todo esto<br>está infectado. Todo esto está<br>infectado. O sea, tú te descargas uno de<br>estos repositorios, cualquiera de estos<br>repositorios y ya está [ __ ] Está<br>[ __ ] directamente. Y a lo mejor es un<br>repositorio que, yo que sé. Mira, Travel<br>Guide. Pues en este Travel Guide, en<br>este package Jason, pues han metido aquí<br>este package Jason, han metido aquí este<br>post install y ahí está [ __ ]<br>Entonces, ¿podemos probarlo? Claro que<br>sí, Mateo. Puedes hacer un pmstol, pero<br>por suerte tenemos una buena noticia,<br>algo que me alegro ya que ya hace falta.<br>Todos estos ataques son siempre los<br>mismos, que es que con npm install se<br>ejecuta por defecto el post install y es<br>un rollo. Bueno, pues por suerte van a<br>hacer por fin hay un RFC, es un request<br>for changes para npm para que por fin<br>por defecto no se ejecuten scripts, los<br>preinstall, los install y los post<br>install y que tengas manualmente que<br>aprobar los scripts. Esto llegaría a npm<br>por fin, ¿vale? para que no se ejecute<br>automáticamente. ¿Qué es lo que ocurre<br>hoy? Y es que, como ya sabéis, tanto los<br>ataques de Shai Hulut, que es muy<br>parecido a lo que estamos viendo ahora,<br>como el ataque en Axios, en chalk, en<br>the back y un montón de paquetes que han<br>sido afectados, ha sido exactamente por<br>lo mismo y parece ser que va a llegar<br>eventualmente a MPM. Así que nada, vamos<br>a ver si por fin ocurre, porque ya hace<br>falta que esto pase para que por defecto<br>sea seguro en PM. O sea, es un vector de<br>ataque que hace demasiado tiempo que<br>están utilizando, que están que están<br>aprovechándose. Ya yo creo que es el<br>momento de dejar esto atrás. Y lo peor,<br>amigos, es que sé que mucha gente dice,<br>"No, es que esto es el ecosistema de<br>JavaScript, que no sé qué, no sé<br>cuánto." Bueno, pues tenemos no ataque<br>solo a PM, sino que también en PP, el<br>Python Package Index, el sitio donde<br>puedes encontrar paquetes de Python,<br>pues también tienes. Y también en<br>crates.Oio en el registro de paquetes de<br>Rust. En todos, en todos, en todos han<br>estado metiendo un montón de paquetes,<br>más de 384 paquetes, que lo que hacían<br>era robarte los cryptoallets, los las<br>llaves SSH, credenciales AWS, tokens de<br>GitHub y tal, o sea, tanto en el<br>registro de Rust, en el de Python y como<br>hemos visto también en el de PHP. O sea,<br>que al final tienes que tener cuidado.<br>Muchas veces lo hacen con paquetes que<br>se parecen a paquetes que son paquetes<br>conocidos. En otros pues paquetes<br>utilizando paquetes que son conocidos y<br>que les roban los tokens. Así que nada,<br>ha llegado a todos, a Python, a Rust y<br>también a MPM. Tengan mucho, pero mucho<br>cuidado. ¿Y cómo pueden tener cuidado?<br>Pues lo responde el Team PCP. El Team<br>PCP es este grupo de hackers que ha<br>estado hackeando un montón el ecosistema<br>de de JavaScript y de Python. y le han<br>hecho una entrevista donde le han<br>preguntado qué deberían hacer los<br>defensores para detener los ataques a la<br>cadena de suministro, que son todos los<br>ataques que han estado pasando estas<br>semanas. Y su consejo es fijar versiones<br>a un hash específico. Esto, por cierto,<br>es una cosa que yo os he comentado<br>muchas veces. Usar tokens de privilegio<br>mínimo. Esto es de cajón. En lugar de<br>utilizar un token que tenga eh<br>superpoderes, utilizar tokens que sean<br>muy específicos en concreto. Restringir<br>extensiones del IDE, de esto también os<br>comenté el otro día. Y luego<br>textualmente dijeron, "La empresa Socket<br>detectará el Marwell antes de que el<br>paquete siquiera llegue a tu máquina." Y<br>esto es porque Socket Security, esta<br>gente de aquí, son los que siempre están<br>detectando rápidamente el malware que<br>llega a un montón de ecosistemas. tienen<br>una herramienta que se llama SFW<br>que te puede ayudar a detectar este tipo<br>de paquetes para evitar que lleguen. No,<br>no vamos a poner esto en la página de<br>testimonios porque Feroz trabaja en<br>Socket Security, pero al mismo tiempo si<br>aún no estás utilizando Socket Security<br>para proteger tu cadena de suministro,<br>¿a qué estás esperando? Curioso que han<br>hecho una entrevista a los hackers y que<br>encima te den consejos para no<br>infectarte. Ya es el colmo del colmo.