Un grupo de hackers envenena repositorios open source a escala sin precedentes

TeamPCP viene ejecutando una campaña sostenida de envenenamiento de código abierto que alcanzó dimensiones industriales. El grupo inyecta dependencias maliciosas en paquetes legítimos, aprovechando que la mayoría de los equipos no auditan cada actualización de sus node_modules o pip installs. GitHub reconoció el problema pero la superficie de ataque es enorme: millones de proyectos confían en cadenas de dependencias que nadie revisa manualmente. Para CTOs, el mensaje es operativo: las herramientas de escaneo automático ya no son nice-to-have, son infraestructura básica. Y conviene empezar a tratar las actualizaciones de librerías con el mismo rigor que los deploys a producción.