Surreal Cloud 🌌

"No confíes, verifica" Es lo que ha escrito Daniel Stenberg, creador y mantenedor de Curl, una herramienta que está en prácticamente todas partes (incluso aunque no lo sepas). Dice que los ataques son inevitables, y más cuando los proyectos son grandes, siempre hay un riesgo de que alguna parte de la cadena sea comprometida, sin embargo dice que el mejor antídoto es la transparencia: fomentar una cultura donde el usuario sea capaz de revisar al pie de la letra cada parte del código, cada commit, cada lanzamiento, no importa si son pocas personas, lo que importa es que haya personas independientes del equipo que puedan verificar y alertar al resto en momentos donde incluso quienes mantienen un software están fuera de juego. También da ejemplos de todo lo que puede salir mal, como un solo elemento en la cadena que sea comprometido puede romper todo y hacer que una vulnerabilidad se expanda a miles de usuarios... La clave no sería tratar de hacer software inmune a ataques, es imposible, pero si tener un proceso transparente y detallado donde aunque sea un par de usuarios puedan notar que algo está mal y correr la voz. No es un llamado a la paranoia, es simplemente sentido común.

Lo de correr Doom en cualquier cosa toca limites absurdos ... ¿Puede correr Doom en registros DNS? espera ... ¿se pueden ejecutar cosas ahí? xD Una prueba de concepto demasiado bizarra la verdad, pero fue interesante de leer.

En fin, luego del miedo existencial a haber sido hackeado, este canal vuelve a su actividad regular, mucho spam de IA ya. Por lo menos, ya confirmé al 100% que todo está bien para mi, afortunadamente. Nos vemos cuando tenga algo más interesante que contar que no sea algo así 😁

Que día de locos el de ayer... Increíble que una sola dependencia haya hecho que montones de proyectos y empresas estuvieran en jaque xd Parte de esto tiene un culpable: vibe coding. Los atacantes fueron ingeniosos pero, también es que los mantenedores fueron negligentes y el proyecto estaba en mal estado desde el punto de vista de desarrollo. Parte del caos del proyecto pudo verse en la respuesta ante la infiltración, que fue pobre, confusa, y ni ellos mismos se habían dado cuenta que estaban comprometidos... ¿Y que tiene que ver el vibe coding? según programadores que han visto esto, han señalado que todo el ataque se pudo evitar, fue posible porque no revisaban el código y las dependencias, dependían mucho de agentes de IA, los mantenedores eran casi de papel. Eran un blanco fácil literalmente 🤔 La cosa es, que medio ecosistema usaba un paquete así a pesar de lo caótico del proyecto, eso dice mucho también. Muchas veces se añaden dependencias sin siquiera revisar de donde vienen, mientras funcione, se usa. Luego pasan ataques como el de ayer mostrando el peligro de esos descuidos

Bueno, creo que no estoy infectado, eso es bueno xd Igual he cambiado montones de cosas, contraseñas y demás, y he tenido que revocar claves de API y así, por si acasó, cambié mis claves gpg, cambié mis claves SSH, cambié todo lo que pudiera cambiar pues Pero todas las pruebas parecen demostrar que de mi lado, estoy a salvo, parece digo. Además de que, la dependencia afectada, Litellm, yo no tenía la versión afectada, ni había actualizado nada Obviamente lo primero que hice fue remover el paquete afectado y cualquier directorio asociado. El post del blog iba a ser algo en plan "Creo que los agentes pueden ser un poco útiles" pero después de esto toda la idea ha cambiado por completo 😅 En fin, por ahora, eso, no hay residuos sospechosos, no he encontrado scripts o archivos maliciosos en las rutas confirmadas donde el malware deja la backdoor, Y el hecho de las versiones y que no se haya registrado ni una sola consulta al dominio del malware, parecen confirmarme que por lo menos en mi caso fue un susto Igual seguiré revisando

Como algo interesante, Mandiant se ha involucrado, ¿que es Mandiant? es la firma de respuesta a incidentes y ciberinteligencia de Google, de los equipos más avanzados del mundo en toda la escena, so, esto no parece que sea una vulnerabilidad menor si ha tenido que involucrarse el equipo más pro 🤔

Lo bueno es que esto es inspiración y contenido 😁 Ya tengo algo nuevo de que hablar en mi blog por lo menos

Hoy está temblando casi todo el ecosistema de agentes de IA El paquete LiteLLM ha sido comprometido, un paquete usado por montones de herramientas y devs, la vulnerabilidad está confirmada y es de alto nivel. Me da risa que cuando a mi se me ocurre comenzar a probar un agente cuando era medio hater de eso, es que pasa explota todo esto xD ¿Recomendaciones? cambiar contraseñas, revocar claves privadas, inspeccionar el sistema para ver si hay cosas maliciosas persistentes y probablemente formatear/instalar un nuevo OS Si ven que este canal empieza a hacer spam de IA ya saben que ha pasado, jaja, bromita. Debo reírme, al final, aunque esto fue inevitable porque fue un ataque a la cadena de suministro, algo que el usuario no controla, los riesgos estaban, no estos precisamente pero bueno, solo me queda reirme y aprender de esto.

Pregunta random: ¿para ustedes Telegram es una simple app de mensajería que usan para enviar mensajes y ya? ¿O una red social a lo Facebook? En plan, conocer grupos, canales, etc etc. Siempre me parece curioso que hay como una dualidad, dependiendo de a quien le preguntes Telegram es una cosa u otra 🤔 Para mi Telegram es más como un Wechat (en el sentido de ser como una mega-app) que una app de mensajería, Signal es mensajería, WhatsApp lo es, pero ¿Telegram es solo mensajería o algo más?

No quería actualizar mi app porque aún no logro las builds reproducibles, pero bueno, salió actualización de Mihon, así que luego de resolver unos cuantos conflictos (13, nuevo record) causados por los nuevos cambios internos entre ambas apps, se logró. Le quité un par de funciones, una por ser potencialmente peligrosa (lo de quitar la verificación de extensiones) y otra de cambiar tamaños de fuentes porque eso ni yo lo uso, y siempre me da dolores de cabeza. En fin, Kumo v0.19.5 ya está lista para ser descargada, de los primeros forks en actualizar: https://github.com/nubesurrealista/Kumo/releases/tag/v0.19.5

Todas las habilidades no entrenadas se pierden eventualmente, yo antes trabajaba con Photoshop a diario, no era una edición increíble ni mucho menos pero sabía hacer cosas, sabía defenderme, hacer algo. Hoy pasé parte del día intentando usar GIMP, que es en teoría muy similar a lo que yo estaba acostumbrado a usar hace años ... pero, o GIMP es muy difícil o estoy muy oxidado, no entendí mucho, me perdí y confundí varias veces, al final lo usé solo para ajustar el tamaño de la imagen del post, pero no lo usé para hacer la imagen porque nada funcionaba como yo quería 😁 Quizás para el proximo post aprendo a manejarme mejor con eso, mientras eso no pase, portadas estilo paint :3 jaja

Finalmente: Software Es simplemente un post que escribí anoche con mucha inspiración pero nada de estructura, de algo que tenía en mente desde hace tiempo, este post tuvo varios borradores que nunca llevaron a nada, hasta que finalmente anoche fue el momento correcto, al final no tuvo mucho que ver con la idea original y me fui por las ramas varias veces pero, meh, es mi blog, hablo de lo que quiera 😁 ¿Portada de Temu? sí bro, por lo menos no es IA xD. La hice en Excalidraw porque pasé parte del día intentando hacer algo en GIMP y no logré nada, so, esto es lo que salió, usando assets que la misma comunidad ha contribuido a la herramienta. En fin, a ver si el proximo post no implica estar como 3 meses sin saber que escribir jaja