Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Descubiertos más de 700 paquetes maliciosos de código abierto en npm y PyPI
Rohan Timalsina
13 de marzo de 2023 - Equipo de expertos TuxCare
Investigadores de seguridad han descubierto más de 700 paquetes de código abierto maliciosos en npm y PyPI. npm y PyPI se encuentran entre los repositorios de software más utilizados a nivel mundial por desarrolladores y organizaciones.
npm y PyPI actúan como la fuente principal para obtener diferentes paquetes esenciales que se requieren en el desarrollo de software. Ofrecen a los desarrolladores una forma cómoda de ahorrar tiempo y esfuerzo utilizando componentes de código (paquetes) preconstruidos.
Sin embargo, la popularidad conlleva una desventaja, ya que estos repositorios se han convertido en un objetivo atractivo para los ciberdelincuentes que buscan explotar las vulnerabilidades de estos paquetes. Los investigadores de seguridad de Sonatype utilizaron su herramienta basada en IA para detectar 691 paquetes maliciosos en el registro npm y 49 en el registro PyPI.
En npm, principalmente dos paquetes llaman la atención de los investigadores. Uno de ellos es 'no-one-left-behind' del autor Zalastax, y el otro incluye más de 33.000 paquetes con el prefijo 'nolb-' del autor 'infinitebrahamanuniverse.'
El paquete 'no-one-left-behind' depende de todos los paquetes npm disponibles públicamente, mientras que esos más de 33.000 paquetes se autodescriben como componentes del paquete 'no-one-left-behind'.
Mientras que en PyPI, el autor 'sexydev1337' ha subido paquetes que presentan código fuertemente ofuscado utilizando Hyperion. Los investigadores de seguridad han descubierto que el código tiene la capacidad de ejecutar scripts que pueden descargar y ejecutar binarios dañinos desde servidores externos y, potencialmente, incluso sustituir archivos ejecutables.
Además, observaron que numerosos actores maliciosos habían desarrollado métodos para evitar la detección realizada por máquinas virtuales.
¿Qué medidas se están tomando para resolver este problema?
Afortunadamente, el equipo de seguridad de npm ha tomado cartas en el asunto eliminando el paquete 'no-one-left-behind' del repositorio. Un marcador de posición lo reemplaza con una advertencia de seguridad para evitar cualquier daño futuro a los usuarios.
Mientras tanto, algunos paquetes de 'infinitebrahamanuniverse' siguen disponibles y son objeto de una estrecha vigilancia. Este incidente sirve para recordar a los desarrolladores que los paquetes de código abierto pueden ser vulnerables a amenazas de seguridad.
Esperamos que este tipo de paquetes maliciosos no se encuentren regularmente en npm y PyPI en el futuro. Aunque el software de código abierto ofrece muchas ventajas, también plantea ciertos riesgos. Por lo tanto, es esencial implementar medidas adecuadas para mitigar estos riesgos y garantizar la seguridad de las aplicaciones de software.
Las fuentes de este artículo incluyen un artículo de It's FOSS News.
