Paquetes maliciosos de PyPI con miles de descargas dirigidos a desarrolladores de Python
Durante los últimos seis meses, una amenaza no identificada ha estado introduciendo paquetes maliciosos en Python Package Index (PyPI), un repositorio de software Python. ¿Su objetivo? Desatar malware capaz de colarse en tu sistema, robar datos confidenciales e incluso hacerte con criptomonedas que tanto te ha costado ganar.
Según un informe reciente de Checkmars, estos 27 paquetes disfrazados de auténticas bibliotecas Python se han descargado miles de veces. La mayoría de las descargas procedían de Estados Unidos (41,58 %), Alemania, Japón, Reino Unido, Francia, China (12,22 %), Hong Kong, Rusia, Irlanda y Singapur.
Paquetes maliciosos PyPI: Detalles del ataque
Lo que hace que este ataque destaque es su uso de la esteganografía. La esteganografía es la práctica de ocultar información dentro de otro archivo ordinario para evitar su detección. En este caso, los atacantes ocultaron hábilmente una carga maliciosa dentro de un archivo de imagen de aspecto inocente, lo que dificultó la detección del ataque. La empresa de seguridad de la cadena de suministro de software señaló que esta táctica aumentaba significativamente la ocultación del ataque.
Algunos de los paquetes engañosos son pyioler, pystallerer, pystob, pyowler y pyhuluh. Sus equivalentes legítimos son pyinstaller, pysolr, pyston, prowler y pyhull respectivamente. El objetivo de este ataque era crear la probabilidad de que los desarrolladores descargaran involuntariamente estos paquetes dañinos. La descarga de paquetes maliciosos ha alcanzado más de cuatro mil.
El truco utilizado en estos paquetes es el script setup.py, que incluye referencias a otros paquetes maliciosos como pystob y pywool. Estos, a su vez, utilizan un script de Visual Basic (VBScript) para descargar y ejecutar un archivo llamado "Runtime.exe", estableciendo una presencia persistente en el sistema de la víctima.
Dentro del archivo binario se esconde un programa compilado capaz de extraer información de navegadores web, carteras de criptomonedas y diversas aplicaciones.
Checkmarx también observó una cadena de ataque alternativa, en la que los atacantes ocultaban el código ejecutable dentro de una imagen PNG ("uwu.png"). Esta imagen se descodifica y ejecuta para extraer la dirección IP pública y el identificador único universal (UUID) del sistema afectado.
Paquetes como Pystob y Pywool se presentaban como herramientas para la gestión de API, pero su verdadero objetivo era filtrar datos a un webhook de Discord. Además, intentaban mantener la persistencia colocando el archivo VBS en la carpeta de inicio de Windows.
Conclusión
En un panorama digital repleto de amenazas, es crucial que desarrolladores y usuarios se mantengan alerta e identifiquen los paquetes maliciosos PyPI. Dados los crecientes riesgos, el gobierno de EE.UU. ha publicado nuevas directrices este mes, instando a desarrolladores y proveedores a priorizar y concienciar sobre la seguridad del software. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina del Director de Inteligencia Nacional (ODNI) recomiendan evaluar los riesgos de la cadena de suministro para tomar decisiones de compra y evitar ser víctimas de estos incidentes en la cadena de suministro de software malicioso.
Las fuentes de este artículo incluyen una historia de Checkmarx y TheHackerNews.