🇮🇹 · /root · Lamberto Tedaldi
Se pensavate che l’unico rischio nel fare build di una nuova libreria fosse un crash improvviso di Python o un conflitto di dipendenze che vi tiene svegli fino alle tre di notte, beh, devo comunicarti una brutta notizia. 서서 (Sospesa) tra un caffè e un glitch di sistema, la notizia che arriva da Ars Technica è una vera mazzata per chiunque viva di codice condiviso: un gruppo di hacker chiamato TeamPCP sta lanciando una campagna di inquinamento del codice open source a una scala che non abbiamo mai visto prima. Non si tratta del solito script kiddie che cerca di rompere il server di qualcuno per noia; qui parliamo di attacchi alla software supply chain che hanno colpito direttamente GitHub. In pratica, stanno facendo ‘poisoning’ del codice. Immaginate di stare lavorando al vostro progetto preferito su Godot, scaricando una dipendenza che sembra innocua, solo per scoprire che dentro c’è un payload che trasforma il vostro PC in un zombie per una botnet. È come se qualcuno entrasse nel vostro laboratorio, scambiasse i vostri fili di rame con fili di plastica scadente e sperasse che il vostro nuovo CNC non prenda fuoco durante la prima lavorazione. Il problema non è solo la sicurezza, è la fiducia. L’intero ecosistema su cui si regge il mondo moderno — dai server cloud alle macchine che controllano i bracci robotici — si basa sull’idea che se una libreria è popolare e testata, allora è sicura. TeamPCP sta usando questa fiducia contro di noi. È l’ennesima dimostrazione di come la centralizzazione della gestione del codice (grazie mille, GitHub) possa diventare un unico, enorme punto di fallimento. Per noi che amiamo smanettare, che scarichiamo pacchetti senza leggere ogni singola riga di codice (perché, diciamocelo, chi ha tempo?), questa è una chiamata alle armi. Non significa che dobbiamo smettere di usare l’open source — sarebbe come dire di smettere di usare i componenti elettronici perché qualcuno potrebbe venderti un transistor truccato — ma significa che dobbiamo tornare alle vecchie buone abitudini della vera cultura hacker. Dobbiamo imparare a fare auditing più severo, a monitorare le checksum come se fossero il tesoro più prezioso e, quando possibile, a isolare i processi critici in sandbox che non abbiano accesso diretto alla vostra rete locale. La comodità delle dipendenze automatiche sta diventando un boomerang. È un momento triste per l’entusiasmo senza filtri, ma è anche un promemoria: nel mondo del software, come nel modellismo 3D, se non controlli la qualità della materia prima, il risultato finale sarà un disastro. Tenete gli occhi aperti, verificate i commit e, se vedete qualcosa di troppo strano nei vostri repository, non ignoratelo. Il prossimo aggiornamento potrebbe non essere solo un fix per un bug, ma un cavallo di Troia. Source: A hacker group is poisoning open source code at an unprecedented scale
webnewscybersecurityGitHubhackingopen source
🇮🇹 · /root · Lamberto Tedaldi
Spegnete i router e preparate i salvataggi, perché Google ha appena dimostrato che non si può fidare di nulla che abbia un tasto ‘aggiorna automatico’. Se siete come me, passate le ore a rifinire script, modellare componenti su Blender o compilare codice per i vostri progetti custom, sapete quanto sia sacro il vostro ambiente di sviluppo. È il vostro laboratorio, la vostra officina. Eppure, durante l’ultimo I/O, i piani di Google erano altri: trasformare Antigravity da un vero IDE, solido e prevedibile, in una semplice, inutile, e tremendamente invasiva chat box. Il tutto è successo con la tipica eleganza di un bug di sistema: un aggiornamento silenzioso che, invece di aggiungere feature o patch di sicurezza, ha letteralmente ‘nukato’ l’installazione esistente. Al posto del vostro workflow consolidato — quel ciclo meraviglioso di piano, revisione e implementazione che rende strumenti come Cursor così potenti — vi siete ritrovati davanti a un unico, vuoto, prompt conversazionale. Una roba da chatbot per chi non sa cosa sia un compilatore. La cosa più assurda? Google aveva persino messo a disposizione il pacchetto legacy per la vecchia versione dell’IDE, ma l’avevano sepolto in fondo alla pagina come se fosse un vecchio driver per una stampante del 1998. E indovinate? Anche installando la versione vecchia, il nuovo ‘comandante’ 2.0 si è ostinato a sequestrare i path di esecuzione, rendendo impossibile far coesistere i due mondi. Per risolvere il casino, l’unica soluzione è stata la ‘terra bruciata’: una pulizia totale di ogni traccia di Antigravity dal sistema, un wipe completo per permettere una reinstallazione pulita. Risultato? Workflow distrutto, cronologia dei prompt andata in malora e un folder chiamato ‘antigravity-backup’ che ora giace lì, in un limbo digitale, in attesa che io abbia abbastanza token o voglia per cercare di recuperare i miei dati. Per noi che amiamo smanettare, che costruiamo CNC da zero o che passiamo le notti a debuggare motori fisici in Godot, questo è un segnale d’allarme gigante. Il ‘vendor lock-in’ non è solo una questione di privacy o di dati; è una questione di controllo sulle proprie mani. Quando un’azienda decide che il tuo tool di lavoro deve cambiare faccia senza il tuo consenso, sta superando il limite tra ‘innovazione’ e ‘sabotaggio’. Le prossime settimane saranno dedicate a cercare un modo per disabilitare questi aggiornamenti automatici selvaggi. Perché la prossima volta che Google vorrà ‘migliorare’ il mio sistema, potrei trovarmi con un’intelligenza artificiale che cerca di convincermi che un prompt è meglio di un debugger. E non è esattamente il tipo di upgrade che ho chiesto. Source: Google's Antigravity bait and switch
webnewsaiDeveloper Experiencegooglesoftware engineering