0:00
si tú usas Visual Studio Code tienes que
0:01
tener cuidado con las extensiones que
0:02
puedes instalar y adicionalmente en
0:04
gestores de paquetes de JavaScript como
0:06
NMP ya que recientes informes avisan de
0:08
que atacantes subieron más de 70
0:09
paquetes maliciosos concretamente tanto
0:11
NMP como Visual Studio Code por lo que
0:14
comentarlo muy bien concretamente en
0:17
mayo este mes investigadores de una
0:19
empresa llamada Check Marx bueno check
0:21
Marx ignora lo que suena de fondo es que
0:23
lleva como 11 horas lloviendo pero bueno
0:24
esta gente descubrió una campaña de
0:26
ataque de la cadena de suministros donde
0:27
como te dije antes se introdujeron más
0:29
de 70 paquetes maliciosos en dos
0:31
plataformas diferentes una de ellas fue
0:32
el ecosistema NMP donde como sabrás se
0:34
distribuyen paquetes para JavaScript y
0:36
el otro fue el Marketplace de Visual
0:37
Studio Code donde estos paquetes por
0:39
razones evidentes simulaban ser
0:40
utilidades legítimas y como tal incluían
0:42
código que se ejecutab automáticamente
0:44
cuando se instalaba el paquete esto se
0:45
le conoce como post install scripts y no
0:47
tiene mucha lógica más que leer el
0:48
nombre viejo después de instalación pues
0:50
ejecútate y tú me dirás ¿qué hacen estos
0:52
paquetes pues como tal eran muchos
0:53
diferentes y el código pues no era
0:55
exactamente el mismo pero el modo de
0:56
operación era similar dicho de otra
0:58
forma que traiga información del entorno
0:59
del usuario información que puede llegar
1:01
a ser crítica en ciertos contextos como
1:02
tu dirección IP actual nombre de
1:04
ficheros ruta del sistema configuración
1:06
de DNS y claves de entorno incluso
1:08
habían algunos que estaban diseñados
1:09
para robar criptomonedas y como tal que
1:11
estaban apuntando desarrolladores que
1:12
trabajaban con estas herramientas y
1:14
principalmente con contratos
1:15
inteligentes a nivel de Solidity donde
1:17
como tal un ejemplo del ataque pues es
1:18
algo bastante simple ya que como te dije
1:20
el ciberdelincuente solamente subiría un
1:21
paquete falso donde acto seguido el
1:23
desarrollador lo instalaría pensando que
1:24
es una utilidad legítima y sin darse
1:26
cuenta en este caso para este ejemplo de
1:28
NMP se ejecutará automáticamente el hit
1:30
mal delicioso porque estaría dentro de
1:31
la sección post install ahora ¿cómo te
1:33
puedes proteger al respecto
1:34
principalmente de tus paquetes y de los
1:35
que vendrán futuro porque es evidente
1:37
papá esto va a seguir así no podemos
1:38
controlar que haya gente que haga esto
1:40
pero bueno a nivel de NMP lo que puedes
1:42
hacer es configurar NMP para que en este
1:44
caso bloquee automáticamente scripts
1:45
como Pistol la lluvia que está cayendo
1:48
no es normal y esto lo puedes hacer
1:49
perfectamente con el MP indicando que
1:51
quieres cambiar un valor concretamente
1:52
el de ignore scripts y lo pones en true
1:54
y a nivel de Visual Studio Code pues
1:56
viejo pasa un poco similar a lo anterior
1:57
usa el sentido común ya que
1:59
evidentemente la mayoría de ataques van
2:00
a requerir que tú hagas algo y si tú
2:02
confías en cosas tan básicas como pensar
2:03
que una extensión es segura porque está
2:05
en una tienda oficial pues eso no es así
2:07
siendo sinceros hay muy pocas tiendas a
2:08
nivel de servicios en internet donde
2:10
realmente se verifica el código antes de
2:11
subirse y publicarse así que no pienses
2:13
que porque está público en un sitio pues
2:14
automáticamente seguro porque en la
2:16
mayoría de casos no es así obviamente
2:17
hay excepciones pero en la mayoría de
2:18
casos esto no es así así que ten los
2:20
ojos bien abiertos y si recientemente
2:22
instalaste o activaste algún tipo de
2:23
extensión yo te recomendaría que fueras
2:24
y revisaras y cuando lo hagas acto
