PyPI pausa temporalmente nuevos usuarios

Iniciado por Dragora, Mayo 21, 2023, 09:29:44 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 21, 2023, 09:29:44 PM

PyPI, el registro oficial de terceros de paquetes Python de código abierto, ha suspendido temporalmente el registro de nuevos usuarios y la carga de nuevos proyectos en la plataforma hasta nuevo aviso.

El movimiento inesperado se produce en medio de la lucha del registro para mantener una gran afluencia de usuarios y paquetes maliciosos.

PyPI detiene temporalmente las inscripciones de nuevos usuarios y proyectos

A partir de hoy, el Python Package Index, más comúnmente conocido como PyPI, ha suspendido temporalmente los registros de nuevos usuarios y las creaciones de proyectos hasta nuevo aviso.

"El registro de nuevos usuarios y nuevos nombres de proyecto en PyPI se suspende temporalmente", afirma un aviso de incidente publicado por los administradores de PyPI hoy, 20 de mayo.

"El volumen de usuarios maliciosos y proyectos maliciosos que se crearon en el índice en la última semana ha superado nuestra capacidad de responder de manera oportuna, especialmente con múltiples administradores de PyPI en licencia".

Aunque los administradores del registro no han revelado los culpables exactos (actores maliciosos y nombres de proyectos) que los llevaron a congelar nuevos registros en la plataforma, se espera que el movimiento preventivo evite a los adversarios hasta que se pueda encontrar una solución más permanente.

"Mientras nos reagrupamos durante el fin de semana, el registro de nuevos usuarios y nuevos proyectos se suspende temporalmente".

Al igual que otros registros de código abierto, PyPI no es ajeno a ser abusado por adversarios que buscan distribuir malware.

En marzo de 2023, un paquete malicioso de PyPI colourfool fue atrapado distribuyendo lo que fue denominado malware 'Color-Blind' por la consultora de riesgos, Kroll.

El mismo mes, los paquetes de PyPI 'microsoft-helper' y 'reverse-shell' identificados por Sonatype, fueron atrapados dejando caer a los ladrones de información que abusaron de Discord por filtrar secretos.

Es poco probable que el movimiento de hoy de los administradores de PyPI afecte a los mantenedores existentes de los paquetes de Python disponibles en el registro a partir de la publicación de versiones más recientes de sus artefactos.

Esta es una historia en desarrollo...

h / t Adam Reynolds de Sonatype para el aviso.
Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario