Hackers envenenan repositorios de código abierto a escala sin precedentes

Lo que hace única esta campaña es la escala y la sofisticación. TeamPCP no va por repositorios obviamente vulnerables; compromete paquetes con millones de descargas mensuales, inyecta código malicioso en versiones minor que parecen actualizaciones de mantenimiento, y aprovecha que la mayoría de los equipos tienen auto-update habilitado sin revisión humana.

El problema estructural es que el ecosistema open source opera sobre confianza implícita. Cuando instalás un paquete de npm o PyPI, confiás no solo en el maintainer sino en toda la cadena de dependencias transitivas. Un proyecto promedio puede tener 500+ dependencias indirectas. Auditar manualmente es inviable; las herramientas automatizadas detectan firmas conocidas pero no zero-days.

La solución no es dejar de usar open source — eso sería imposible y contraproducente. Pero sí requiere tratar la supply chain de software con el mismo rigor que la de hardware: SBOMs (software bill of materials), escaneo continuo, ambientes de build aislados, y políticas de actualización que no sean "latest automático". Para equipos chicos sin recursos de seguridad dedicados, esto significa adoptar herramientas como Snyk o Dependabot como parte de CI/CD básico, no como nice-to-have.