Subida de paquetes maliciosos a PyPI para atacar a los desarrolladores
A la luz de la reciente actividad cibercriminal, se detuvo el registro de nuevos usuarios en la plataforma PyPI. Actualmente, se está produciendo un aumento de paquetes maliciosos de paquetes maliciosos en PyPI. En este artículo, nos adentraremos en los detalles del caso paquetes maliciosos PyPI y aprenderemos más sobre la suspensión temporal que el administrador ha puesto en marcha.
Paquete malicioso PyPI: Descubierta la suspensión del registro
Según recientes medios de comunicacióntanto el registro de nuevos usuarios como la creación de nuevos proyectos se detuvieron temporalmente el 28 de marzo. La medida se tomó como respuesta a lo que el administrador de PyPI creía que era una campaña de malware. Sin embargo, ambas funciones se restablecieron 10 horas más tarde.
Vale la pena mencionar aquí que no se hicieron públicos más detalles sobre la subida de paquetes maliciosos a PyPI en anuncio de PyPI. PyPI es una parte clave de la cadena de suministro de software, que permite a los desarrolladores compartir y descargar fragmentos de código útiles. Por ello, es necesario saber más sobre este tipo de incidentes.
Expertos de las empresas de ciberseguridad Checkmarx y Phylum han publicado una investigación relativa a un malware que parece ser similar o estar relacionado con la subida de paquetes maliciosos a PyPI. Al arrojar luz sobre el paquete malicioso en PyPI, el equipo de Checkmarx ha declaró:
"Se trata de un ataque en varias fases y la carga maliciosa tenía como objetivo robar criptocarteras, datos sensibles de los navegadores (cookies, datos de extensiones, etc.), y diversas credenciales."
Las amenazas impuestas por los paquetes maliciosos en PyPI podrían haber causado graves daños si no se hubieran abordado a tiempo. Comentando la mitigación de las subidas de paquetes maliciosos a PyPI, Phylum declaró que:
"Aunque la respuesta rápida y contundente de PyPI sin duda ayudó a mitigar las consecuencias de este ataque, no obstante vale la pena señalar que no todos los ecosistemas son tan rápidos y eficaces a la hora de hacer frente a un ataque de este tipo."
Secuencia de ataque de los paquetes maliciosos en PyPI
La secuencia de ataque de las cargas de paquetes maliciosos de PyPI se parece mucho a la de otras campañas de malware inducidas por repositorios de software. campañas de malware. Según informes recientes, esta brecha de seguridad de PyPI se basó en engañar a los desarrolladores para que descargaran paquetes de código que parecían legítimos pero eran maliciosos.
Por ahora, se cree que los desarrolladores que trabajan con elementos populares como Pillow y Colorama fueron atacados activamente. Estos dos elementos manejan imágenes y coloreado de texto, respectivamente. Los investigadores de ambas empresas creen que se utilizó typosquatting para hacer que las cargas de paquetes maliciosos en PyPI parecieran legítimas.
La "typosquatting" es una técnica que consiste en nombrar un archivo para que se parezca a un paquete común, pero con una letra adicional o mal colocada. Comentando la eficacia de la técnica, Phylum ha declarado que "Basta un solo dedo mal colocado en el teclado para que tu máquina se vea comprometida".
¿Qué hace que estos paquetes maliciosos PyPI una grave amenaza es la persistencia del malware. Una vez que un paquete comprometido ha sido descargado y los desarrolladores han comenzado a trabajar, puede ejecutar el malware sin intervención de terceros. Vale la pena mencionar aquí que dicho malware podría incluso sobrevivir a un reinicio completo del sistema.
Una vez descargados, los paquetes se comprobaban inicialmente para ver si el instalador utilizaba un sistema operativo Windows. En caso afirmativo, procedían a descargar y ejecutar un payload ofuscado de "funcaptcha[.]ru". Después, los paquetes continuaban realizando funciones de malware como el robo de datos. Los paquetes también siguieron descargando el archivo "hvnc.py" a la carpeta de inicio de Windows para aumentar su persistencia.
Detalles de la carga de paquetes maliciosos en PyPI
Proporcionando información valiosa sobre las vulnerabilidades de seguridad de PyPICheck Point, una agencia israelí de ciberseguridad, ha declarado que la carga de paquetes maliciosos en PyPI comenzó el 26 de marzo. Dado que las cargas están vinculadas a una cuenta única, se puede afirmar que todo el proceso estaba automatizado.
Vale la pena señalar que, dado que cada uno de los paquetes maliciosos en PyPI se dirigía a identidades diferentes, la identificación cruzada de las entradas es complicada. Algunos de los detalles del paquetes maliciosos de PyPI se mencionan en la tabla siguiente.
Paquetes | Número de variación |
Requisitos | 67 |
Matplotlib | 38 |
Solicitudes | 36 |
Colorama | 35 |
Tensorflow | 29 |
Selenio | 28 |
BeautifulSoup | 26 |
PyTorch | 26 |
Almohada | 20 |
Asyncio | 15 |
También cabe mencionar que no es la primera vez que se suspende el registro en PyPI. Incidentes anteriores de tales suspensiones fueron reportados el año pasado en mayo, noviembre y diciembre. Además, también se informó de un suceso similar el 2 de enero de 2024.
Dada la persistencia de brechas de seguridad en PyPI tanto los desarrolladores como las organizaciones deben comprender a fondo las técnicas del malware. Hacerlo puede ayudar a desarrollar contramedidas competentes que reduzcan el riesgo en línea y mejoren la postura de seguridad.
Conclusión
Recientemente se han suspendido los registros de nuevos usuarios y la subida de paquetes en PyPI debido a unos paquetes maliciosos maliciosos. Estos paquetes se hacían pasar por activos legítimos, pero tenían la intención maliciosa de infectar con malware los dispositivos de los desarrolladores a los que iban dirigidos. El malware estaba diseñado para infiltrarse en dispositivos Windows, robar datos y descargar y ejecutar scripts adicionales para aumentar su persistencia.
Dada la evolución de las ciberamenazas y los daños que pueden causar, la implantación de soluciones de seguridad proactivas es ahora esencial para salvaguardar los activos digitales y mitigar los riesgos.
Las fuentes de esta pieza incluyen artículos en The Hacker News y The Record.