Un grupo de bibliotecas para PHP fue comprometido con un virus diseñado para robar contraseñas. Quienes integraron estos paquetes en sus proyectos vieron sus datos expuestos. El ataque recuerda que usar código abierto sin control puede tener consecuencias graves. Se recomienda actualizar a versiones seguras y verificar la integridad de cada dependencia.
Cómo el control de dependencias previene ataques en tu stack 🛡️
La infección se propagó a través de repositorios oficiales, donde los atacantes insertaron código malicioso en versiones específicas de los paquetes. Al ejecutarse en el servidor, el malware extraía credenciales almacenadas en variables de entorno o archivos de configuración. Para mitigar riesgos, es clave usar herramientas de análisis de composición de software (SCA) y mantener un registro de hash de cada dependencia. La lección es simple: no confíes ciegamente en lo que descargas.
El día que tu gestor de paquetes te robó la contraseña 😅
Resulta que el mayor riesgo de seguridad no era un hacker con capucha, sino un simple composer install. Ahora los desarrolladores miran sus archivos composer.json como si fueran documentos clasificados. Lo siguiente será pedirle al servidor que sople antes de ejecutar un require. Menos mal que el código abierto es gratuito, porque la tranquilidad que da hay que pagarla aparte.