ClickCease Desarrolladores de Python atacados a través de un paquete falso de compiladores crytic

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Desarrolladores de Python atacados a través de un paquete falso de compiladores crytic

Wajahat Raja

21 de junio de 2024 - Equipo de expertos de TuxCare

Según informes recientes, los expertos en ciberseguridad descubrieron un desarrollo preocupante en el Índice de paquetes de Python (PyPI), una plataforma ampliamente utilizada por los desarrolladores para encontrar y distribuir paquetes de Python. Se descubrió un paquete malicioso llamado 'crytic-compilers', que imitaba la biblioteca legítima 'crytic-compile' desarrollada por Trail of Bits. Este paquete fraudulento fue diseñado con una intención siniestra: desplegar un malware de robo de información conocido como Lumma.

 

Las Tácticas Engañosas – Compiladores-Críticos


Ax Sharma, investigador de Sonatype, identificó a los "compiladores de críticos" como una versión tipográfica de "compilación de acrítmicas". El typosquatting consiste en crear paquetes maliciosos con nombres similares a los legítimos, confiando en que los usuarios escriban mal los nombres de los paquetes previstos durante la instalación. 

En este caso, lospaquetes de python f ake no solo imitaron el nombre, sino que también alinearon sus números de versión con la última versión de la biblioteca legítima, creando la ilusión de ser una versión actualizada.


Paquete malicioso Crytic-Compilers

 

Los actores maliciosos detrás de los "compiladores de críticos" fueron más allá de la mera imitación. Inicialmente, aprovecharon los trucos de control de versiones, sugiriendo engañosamente actualizaciones más allá de la última versión de la biblioteca legítima. Algunas versiones incluso lograron instalar el paquete real junto con componentes maliciosos, camuflando su verdadera intención.

Sin embargo, la última iteración de los 'compiladores de crytic' ya no oculta su naturaleza maliciosa. Incluye un ejecutable específico de Windows ('s.exe') diseñado para iniciar descargas de cargas útiles dañinas adicionales, en particular el ladrón de información Lumma. 

Lumma, también conocido como LummaC2, opera bajo un modelo de malware como servicio, lo que permite a otros delincuentes implementarlo para diversos fines ilícitos, incluido el robo de datos de navegadores, cookies e incluso billeteras de criptomonedas. Los ataques a la cadena de suministro de software ponen de relieve las vulnerabilidades en la gestión de dependencias y subrayan la importancia de las prácticas de desarrollo seguras.


Implicaciones para los desarrolladores de Python: seguridad de los paquetes de Python


Este descubrimiento subraya una tendencia creciente en la que los ciberdelincuentes se dirigen a los desarrolladores a través de repositorios de confianza como PyPI. Estos repositorios son fundamentales en el ciclo de vida del desarrollo de software, lo que los convierte en canales de distribución atractivos para el
malware Crytic-Compilers.

Los informes de los medios de comunicación afirman que los desarrolladores que confían en estas plataformas deben permanecer atentos, verificando la autenticidad de los paquetes y evitando paquetes no oficiales o con nombres sospechosos. Las amenazas de ciberseguridad en Python requieren una vigilancia constante y medidas proactivas para salvaguardar los datos confidenciales y la integridad del código.


El ladrón de información de Lumma


Lumma es una amenaza particularmente preocupante debido a sus capacidades para
robar información confidencial. Puede extraer contraseñas almacenadas en navegadores web, detalles de tarjetas de crédito y datos relacionados con criptomonedas. La disponibilidad de Lumma como servicio amplifica aún más su amenaza, ya que permite a los delincuentes no técnicos aprovechar las capacidades avanzadas de malware para obtener ganancias financieras.


Medidas de seguridad y recomendaciones


La protección de los proyectos de Python
implica la implementación de prácticas de seguridad sólidas y mantenerse actualizado con la inteligencia de amenazas más reciente. Para mitigar los riesgos asociados a los paquetes malintencionados:

 

  • Verifique la autenticidad del paquete: siempre verifique el nombre, el autor y la versión del paquete con las fuentes oficiales antes de la instalación.
  • Utilice fuentes confiables: Cíñete a los repositorios conocidos y a los canales oficiales de los desarrolladores para descargar paquetes.
  • Supervise la actividad sospechosa: supervise regularmente los registros del sistema y el tráfico de la red para detectar cualquier signo de acceso no autorizado o exfiltración de datos.
  • Actualice las prácticas de seguridad: manténgase informado sobre las amenazas emergentes y ajuste los protocolos de seguridad en consecuencia.


Conclusión


La infiltración de 'compiladores de crytic' en PyPI pone de manifiesto la creciente sofisticación de los desarrolladores de
Python. Al comprender estas tácticas y adoptar medidas de seguridad proactivas, los desarrolladores pueden proteger sus sistemas y datos contra tales ataques maliciosos. A medida que el panorama digital continúa evolucionando, la vigilancia y la educación siguen siendo cruciales para defenderse de las amenazas cibernéticas.

Las fuentes de este artículo incluyen artículos en The Hacker News y Radar tecnológico.

Resumen
Desarrolladores de Python atacados a través de un paquete falso de compiladores crytic
Nombre del artículo
Desarrolladores de Python atacados a través de un paquete falso de compiladores crytic
Descripción
Descubra cómo los desarrolladores de Python están en riesgo por el paquete malicioso Crytic-Compilers. Aprenda a proteger su código y sus datos.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín