ClickCease Subida de paquetes maliciosos a PyPI para atacar a los desarrolladores

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Subida de paquetes maliciosos a PyPI para atacar a los desarrolladores

Wajahat Raja

9 de abril de 2024 - Equipo de expertos TuxCare

A la luz de la reciente actividad cibercriminal, se detuvo el registro de nuevos usuarios en la plataforma PyPI. Actualmente, se está produciendo un aumento de paquetes maliciosos de paquetes maliciosos en PyPI. En este artículo, nos adentraremos en los detalles del caso paquetes maliciosos PyPI y aprenderemos más sobre la suspensión temporal que el administrador ha puesto en marcha.

 

Paquete malicioso PyPI: Descubierta la suspensión del registro


Según recientes
medios de comunicacióntanto el registro de nuevos usuarios como la creación de nuevos proyectos se detuvieron temporalmente el 28 de marzo. La medida se tomó como respuesta a lo que el administrador de PyPI creía que era una campaña de malware. Sin embargo, ambas funciones se restablecieron 10 horas más tarde.

Vale la pena mencionar aquí que no se hicieron públicos más detalles sobre la subida de paquetes maliciosos a PyPI en anuncio de PyPI. PyPI es una parte clave de la cadena de suministro de software, que permite a los desarrolladores compartir y descargar fragmentos de código útiles. Por ello, es necesario saber más sobre este tipo de incidentes.

Expertos de las empresas de ciberseguridad Checkmarx y Phylum han publicado una investigación relativa a un malware que parece ser similar o estar relacionado con la subida de paquetes maliciosos a PyPI. Al arrojar luz sobre el paquete malicioso en PyPI, el equipo de Checkmarx ha declaró:

"Se trata de un ataque en varias fases y la carga maliciosa tenía como objetivo robar criptocarteras, datos sensibles de los navegadores (cookies, datos de extensiones, etc.), y diversas credenciales."

Las amenazas impuestas por los paquetes maliciosos en PyPI podrían haber causado graves daños si no se hubieran abordado a tiempo. Comentando la mitigación de las subidas de paquetes maliciosos a PyPI, Phylum declaró que:

"Aunque la respuesta rápida y contundente de PyPI sin duda ayudó a mitigar las consecuencias de este ataque, no obstante vale la pena señalar que no todos los ecosistemas son tan rápidos y eficaces a la hora de hacer frente a un ataque de este tipo."


Secuencia de ataque de los paquetes maliciosos en PyPI 


La secuencia de ataque de las cargas de paquetes maliciosos de PyPI se parece mucho a la de otras campañas de malware inducidas por repositorios de software.
campañas de malware. Según informes recientes, esta brecha de seguridad de PyPI se basó en engañar a los desarrolladores para que descargaran paquetes de código que parecían legítimos pero eran maliciosos.

Por ahora, se cree que los desarrolladores que trabajan con elementos populares como Pillow y Colorama fueron atacados activamente. Estos dos elementos manejan imágenes y coloreado de texto, respectivamente. Los investigadores de ambas empresas creen que se utilizó typosquatting para hacer que las cargas de paquetes maliciosos en PyPI parecieran legítimas. 

La "typosquatting" es una técnica que consiste en nombrar un archivo para que se parezca a un paquete común, pero con una letra adicional o mal colocada. Comentando la eficacia de la técnica, Phylum ha declarado que "Basta un solo dedo mal colocado en el teclado para que tu máquina se vea comprometida".

¿Qué hace que estos paquetes maliciosos PyPI una grave amenaza es la persistencia del malware. Una vez que un paquete comprometido ha sido descargado y los desarrolladores han comenzado a trabajar, puede ejecutar el malware sin intervención de terceros. Vale la pena mencionar aquí que dicho malware podría incluso sobrevivir a un reinicio completo del sistema.

Una vez descargados, los paquetes se comprobaban inicialmente para ver si el instalador utilizaba un sistema operativo Windows. En caso afirmativo, procedían a descargar y ejecutar un payload ofuscado de "funcaptcha[.]ru". Después, los paquetes continuaban realizando funciones de malware como el robo de datos. Los paquetes también siguieron descargando el archivo "hvnc.py" a la carpeta de inicio de Windows para aumentar su persistencia.


Detalles de la carga de paquetes maliciosos en PyPI


Proporcionando
información valiosa sobre las vulnerabilidades de seguridad de PyPICheck Point, una agencia israelí de ciberseguridad, ha declarado que la carga de paquetes maliciosos en PyPI comenzó el 26 de marzo. Dado que las cargas están vinculadas a una cuenta única, se puede afirmar que todo el proceso estaba automatizado.

Vale la pena señalar que, dado que cada uno de los paquetes maliciosos en PyPI se dirigía a identidades diferentes, la identificación cruzada de las entradas es complicada. Algunos de los detalles del paquetes maliciosos de PyPI se mencionan en la tabla siguiente.

Paquetes Número de variación 
Requisitos 67 
Matplotlib 38 
Solicitudes 36 
Colorama 35 
Tensorflow 29 
Selenio 28 
BeautifulSoup 26 
PyTorch 26 
Almohada 20 
Asyncio 15 


También cabe mencionar que no es la primera vez que se suspende el registro en PyPI.
Incidentes anteriores de tales suspensiones fueron reportados el año pasado en mayo, noviembre y diciembre. Además, también se informó de un suceso similar el 2 de enero de 2024.

Dada la persistencia de brechas de seguridad en PyPI tanto los desarrolladores como las organizaciones deben comprender a fondo las técnicas del malware. Hacerlo puede ayudar a desarrollar contramedidas competentes que reduzcan el riesgo en línea y mejoren la postura de seguridad.


Conclusión 


Recientemente se han suspendido los registros de nuevos usuarios y la subida de paquetes en PyPI debido a unos
paquetes maliciosos maliciosos. Estos paquetes se hacían pasar por activos legítimos, pero tenían la intención maliciosa de infectar con malware los dispositivos de los desarrolladores a los que iban dirigidos. El malware estaba diseñado para infiltrarse en dispositivos Windows, robar datos y descargar y ejecutar scripts adicionales para aumentar su persistencia.

Dada la evolución de las ciberamenazas y los daños que pueden causar, la implantación de soluciones de seguridad proactivas es ahora esencial para salvaguardar los activos digitales y mitigar los riesgos.

Las fuentes de esta pieza incluyen artículos en The Hacker News y The Record.

 

Resumen
Subida de paquetes maliciosos a PyPI para atacar a los desarrolladores
Nombre del artículo
Subida de paquetes maliciosos a PyPI para atacar a los desarrolladores
Descripción
La carga de paquetes maliciosos en PyPI provoca la interrupción del registro de nuevos usuarios. Más información sobre las amenazas. Mantente informado, ¡mantente seguro!
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín