Python Package Index (PyPI), el repositorio oficial de software de terceros para el lenguaje de programación Python, ha restringido temporalmente la capacidad de los usuarios para registrarse y enviar nuevos paquetes hasta nuevo aviso. Este cambio fue realizado por los administradores de PyPI . PyPI, el repositorio oficial de terceros para paquetes Python de código abierto, ha implementado nuevas medidas de seguridad en respuesta a un aumento sin precedentes en la actividad de software malicioso. Ha suspendido temporalmente el registro de nuevos usuarios y la carga de proyectos. Este sorprendente paso se realiza con la intención de evitar una mayor carga en las operaciones del registro provocada por el creciente número de usuarios y programas fraudulentos.
Incluso si los administradores no han revelado las identidades de los individuos responsables de estas actividades hostiles, la suspensión de nuevos registros es una precaución preventiva esencial. Esta medida provisional tiene por objeto desalentar a los posibles oponentes hasta que se pueda encontrar una mejor solución a largo plazo. La administración llamó la atención de todos que “mientras nos reagrupamos durante el fin de semana, el registro de nuevos usuarios y nuevos proyectos se suspende temporalmente”. A partir del 20 de mayo, se lanzó el índice de paquetes de Python, a menudo conocido como PyPI. Han emitido una notificación de incidencia en la que anuncian el cese temporal de altas de nuevos usuarios y proyectos. Según la notificación, “El registro de nuevos usuarios y nombres de proyectos en PyPI se suspende temporalmente. Los administradores del registro han manifestado su incapacidad para reaccionar de forma eficaz ante el creciente número de conductas fraudulentas. Esto ocurrió en un período de tiempo decente, a pesar de que numerosos administradores de PyPI estaban ausentes debido a su licencia.
Como es el caso con muchos otros registros de código abierto, el Python Package Index (PyPI) ha sido objeto de explotación por parte de distribuidores de software malicioso. Los expertos descubrieron que un paquete malicioso de PyPI llamado “colorido” estaba propagando un programa dañino conocido como el software malicioso “Ciego a los colores” en el mes de marzo de 2023.
Está claro que PyPI se dedica a preservar la integridad y la seguridad del ecosistema de paquetes de Python, como se ve en su decisión de detener temporalmente el registro de nuevos usuarios y la carga de nuevos proyectos. PyPI quiere proteger a sus usuarios y detener cualquier erosión adicional de la reputación de confiabilidad de la plataforma, por lo que está tomando medidas proactivas para lidiar con el reciente aumento de acciones dañinas.
Es fundamental tener en cuenta que no se espera que los actuales mantenedores de los paquetes de Python que ya están publicados en el registro de PyPI se vean afectados por esta suspensión temporal. No se les impedirá publicar versiones actualizadas de sus artefactos en ningún momento en el futuro.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad