ClickCease Paquetes maliciosos PyPI con miles de descargas

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Paquetes maliciosos de PyPI con miles de descargas dirigidos a desarrolladores de Python

Rohan Timalsina

27 de noviembre de 2023 - Equipo de expertos TuxCare

Durante los últimos seis meses, una amenaza no identificada ha estado introduciendo paquetes maliciosos en Python Package Index (PyPI), un repositorio de software Python. ¿Su objetivo? Desatar malware capaz de colarse en tu sistema, robar datos confidenciales e incluso hacerte con criptomonedas que tanto te ha costado ganar.

Según un informe reciente de Checkmars, estos 27 paquetes disfrazados de auténticas bibliotecas Python se han descargado miles de veces. La mayoría de las descargas procedían de Estados Unidos (41,58 %), Alemania, Japón, Reino Unido, Francia, China (12,22 %), Hong Kong, Rusia, Irlanda y Singapur.

 

Paquetes maliciosos PyPI: Detalles del ataque

 

Lo que hace que este ataque destaque es su uso de la esteganografía. La esteganografía es la práctica de ocultar información dentro de otro archivo ordinario para evitar su detección. En este caso, los atacantes ocultaron hábilmente una carga maliciosa dentro de un archivo de imagen de aspecto inocente, lo que dificultó la detección del ataque. La empresa de seguridad de la cadena de suministro de software señaló que esta táctica aumentaba significativamente la ocultación del ataque.

Algunos de los paquetes engañosos son pyioler, pystallerer, pystob, pyowler y pyhuluh. Sus equivalentes legítimos son pyinstaller, pysolr, pyston, prowler y pyhull respectivamente. El objetivo de este ataque era crear la probabilidad de que los desarrolladores descargaran involuntariamente estos paquetes dañinos. La descarga de paquetes maliciosos ha alcanzado más de cuatro mil.

El truco utilizado en estos paquetes es el script setup.py, que incluye referencias a otros paquetes maliciosos como pystob y pywool. Estos, a su vez, utilizan un script de Visual Basic (VBScript) para descargar y ejecutar un archivo llamado "Runtime.exe", estableciendo una presencia persistente en el sistema de la víctima.

Dentro del archivo binario se esconde un programa compilado capaz de extraer información de navegadores web, carteras de criptomonedas y diversas aplicaciones.

Checkmarx también observó una cadena de ataque alternativa, en la que los atacantes ocultaban el código ejecutable dentro de una imagen PNG ("uwu.png"). Esta imagen se descodifica y ejecuta para extraer la dirección IP pública y el identificador único universal (UUID) del sistema afectado.

Paquetes como Pystob y Pywool se presentaban como herramientas para la gestión de API, pero su verdadero objetivo era filtrar datos a un webhook de Discord. Además, intentaban mantener la persistencia colocando el archivo VBS en la carpeta de inicio de Windows.

 

Conclusión

 

En un panorama digital repleto de amenazas, es crucial que desarrolladores y usuarios se mantengan alerta e identifiquen los paquetes maliciosos PyPI. Dados los crecientes riesgos, el gobierno de EE.UU. ha publicado nuevas directrices este mes, instando a desarrolladores y proveedores a priorizar y concienciar sobre la seguridad del software. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina del Director de Inteligencia Nacional (ODNI) recomiendan evaluar los riesgos de la cadena de suministro para tomar decisiones de compra y evitar ser víctimas de estos incidentes en la cadena de suministro de software malicioso.

 

Las fuentes de este artículo incluyen una historia de Checkmarx y TheHackerNews.

Resumen
Paquetes maliciosos PyPI con miles de descargas
Nombre del artículo
Paquetes maliciosos PyPI con miles de descargas
Descripción
Descubra la alarmante amenaza de 27 paquetes maliciosos PyPI dirigidos a desarrolladores de Python. Descubra las tácticas furtivas y los riesgos potenciales.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín