Conversation

Notices

1. Embed this notice
   Hache☕ (hache@masto.es)'s status on Sunday, 13-Apr-2025 20:18:16 JST Hache☕

   in reply to

   En qué consiste el Slopsquatting:

   Un desarrollador se apoya en una IA (LLM) para generar código para su proyecto. Pongamos por ejemplo que usa JavaScript.

   La IA se inventa un paquete de npm que en realidad no existe. Pongamos que lo ha llamado "RxTs". (esta es la parte del slop)

   Un actor malicioso, vé que la IA suele inventarse este paquete ficticio, y se crea un malware que sube a los repositorios oficiales de npm con este mismo nombre. (Esta es la parte del squatting)

   El usuario se fija que la IA ha añadido un paquete que no tiene instalado, lanza un npm install para que ese paquete se descargue de los repositorios oficiales y así pueda utilizarlo.

   Pongamos que el actor malicioso quiere pasar desapercibido e incluso hace que dicho paquete, efectivamente, haga lo que la IA ha dicho que hace.

   El paquete malicioso está en tu aplicación, instalado, funciona, incluso ha solucionado tu problema, si no te das cuenta es posible que termine incluso en producción infectando a vete a saber cuántos sistemas y máquinas de tu entorno y teniendo acceso a vete a saber qué datos de tu aplicación o usuarios.

   #SlopSquatting #AI #VibeCoding

   • Embed this notice
     Hache☕ (hache@masto.es)'s status on Sunday, 13-Apr-2025 20:18:17 JST Hache☕

     • Janelle Shane

     Brutal, nuevo tipo de ataque, slopsquatting

     @janellecshane https://wandering.shop/@janellecshane/114327654973832756

     Aurora 🐌 repeated this.