ClickCease W4SP Stealer: El malware de la discordia podría estar en tu código Python

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Robo W4SP: Por qué el malware Discord podría estar ya en tu código Python

16 de febrero de 2023 - Equipo de RRPP de TuxCare

Nosotros informamos por primera vez sobre W4SP Stealer en noviembre en respuesta a las noticias generalizadas de un nuevo ataque a la cadena de suministro de Python. Lamentablemente, como suele ocurrir, W4SP Stealer parece que ha llegado para quedarse y seguirá afectando a los paquetes de código Python de todo el mundo.

En este artículo, revisaremos los orígenes de W4SP Stealer, explicaremos cómo su infiltración en PyPI lo convierte en una amenaza para los desarrolladores de Python de todo el mundo, y explicaremos por qué la diligencia debida sigue siendo tu mejor defensa.

¿Qué es W4SP Stealer?

El malware implicado en esta gran historia, W4SP Stealer, ha existido durante un periodo desconocido. En un momento dado, el código del troyano estaba disponible gratuitamente en GitHub, pero la comunidad se puso al día con él y desactivó la página de GitHub (aunque, según se informa, todavía está disponible por 20 dólares - pagaderos en criptomonedas o tarjetas de regalo - si sabes dónde buscar).

Según los informes, W4SP Stealer se propagaba normalmente a través de campañas de phishing o aprovechando vulnerabilidades del software. En un momento dado, se propagaba a través de un reto de TikTok.

La información que W4SP Stealer puede recopilar varía, pero puede incluir datos de tarjetas de crédito y contraseñas. El malware también puede ir tras monederos de criptomonedas y tokens de Discord. De hecho, puede engullir cualquier archivo que pueda parecer útil. Ha sido publicado por alguien que se hace llamar billythegoat356, BillyV3 y BillyTheGoat.

¿Cómo llegó el W4SP Stealer a la cadena de suministro de Python?

Los informes sobre la infiltración de W4SP en la cadena de suministro de código Python empezaron a sonar con fuerza a lo largo de noviembre y diciembre de 2022... pero, de hecho, fue detectado por primera vez en agosto de 2022. Fue una empresa que ayuda a los desarrolladores a asegurar la cadena de suministro de software, llamada Phylum, la primera en hacer el descubrimiento.

El malware se descubrió en paquetes entregados en el Python Package Index (PyPI). PyPI es un repositorio de paquetes de software Python donde los usuarios pueden descargar e instalar fácilmente paquetes y módulos creados por la comunidad Python, incluidas bibliotecas, herramientas y aplicaciones de terceros. Es una ubicación central para que los usuarios encuentren y compartan código reutilizable, lo que acelera el proceso de desarrollo.

Sin embargo, es muy difícil supervisar sistemáticamente un ecosistema de paquetes. Se necesitan muchos recursos para hacerlo, y ahí es donde entra Phylum. En puesto tras postel equipo de investigación de Phylum informó de cómo los patrocinadores de W4SP Stealer consiguieron evadir los mecanismos de detección elementales para inyectar código malicioso en los paquetes PyPI.

El resultado neto es que los desarrolladores de Python que desplieguen cualquiera de una larga lista de paquetes PyPI en su código habrán incluido inadvertidamente también código para W4SP Stealer. Paquetes como modulesecurity, informmodule y randomtime contienen código W4SP Stealer y han sido utilizados por innumerables desarrolladores.

Ataques a la cadena de suministro (nada nuevo)

Un ataque a la cadena de suministro de software es aquel en el que un atacante se infiltra en el proceso de desarrollo de software para introducir código malicioso o explotar vulnerabilidades. Puede lanzarse en cualquier etapa de la cadena de suministro, incluidos los componentes, las bibliotecas de terceros y las dependencias utilizadas, el proceso de construcción y empaquetado, e incluso la distribución de actualizaciones de software. 

El ataque a la cadena de suministro dirigido a PyPI es típico de lo que ocurre con muchos de los ecosistemas de paquetes que existen, ya hablemos de Python, PHP, Java o JavaScript. Es una situación en la que muchos desarrolladores crean muchos paquetes, pero en la que faltan recursos para comprobar correctamente cada uno de los envíos.

Así, algo con intenciones maliciosas, como W4SP Stealer, puede colarse en los listados de paquetes, los mismos listados que los desarrolladores consultan para encontrar librerías que simplifiquen su trabajo. Y W4SP Stealer demuestra que cuando los desarrolladores no actúan con la diligencia debida, pueden acabar obteniendo más de lo que esperaban y, en consecuencia, enviar código malicioso dentro de una aplicación. 

¿Qué pueden hacer los promotores para aplicar la diligencia debida? 

  • Comprobación de antecedentes: Es difícil de hacer cuando se tiene prisa, pero es importante. Un desarrollador debe verificar los proveedores de terceros, incluidos los que publican en repositorios de paquetes como PyPI, para asegurarse de que tienen un buen historial de seguridad. Cuidado también con las manipulaciones. 
  • Utilizar procesos de compilación y cifrado seguros: Utilice comprobaciones automáticas de código y análisis de vulnerabilidades para identificar posibles amenazas a la seguridad. Cifre los paquetes de software antes de distribuirlos y utilice firmas digitales para verificar su autenticidad. 
  • Supervisar las dependencias de software: Lleve un registro de las dependencias y paquetes de software que utiliza, compruebe periódicamente si hay vulnerabilidades en las dependencias y aplique regularmente las actualizaciones recomendadas para asegurarse de que las vulnerabilidades están parcheadas. 
  • Eduque a su equipo: Todos los miembros del equipo de desarrollo deben ser conscientes de los riesgos en toda la cadena de suministro de software y deben entender que el hecho de que un paquete en un repositorio de paquetes sea popular y esté bien presentado no significa que sea seguro.

Es un proceso extenso y muy alejado de los viejos tiempos, cuando los desarrolladores podían limitarse a utilizar paquetes para acelerar su trabajo sin preocuparse demasiado por las consecuencias. 

Ponga bien los cimientos

En TuxCare abogamos por procesos de desarrollo seguros en todo el SDLC. El entorno de desarrollo es complejo, con muchas partes móviles, y es incuestionablemente difícil para los desarrolladores bajo presión asegurarse de que las prerrogativas de ciberseguridad siempre se tienen en cuenta.

Por eso no es de extrañar que los actores de amenazas encuentren la forma de burlar incluso a los desarrolladores más concienzudos. Aunque, dicho esto, a veces los equipos de desarrollo dejan la puerta totalmente abierta al trabajar con fuentes de código poco fiables, confiar en versiones de lenguajes obsoletos, etcétera.

Si bien TuxCare puede ayudarte con Python desactualizado a través de nuestro Soporte de Ciclo de Vida Extendido, el resto depende de ti y de tu equipo de desarrollo. Lo mejor que puede hacer es seguir los consejos anteriores y siga las noticias para estar al tanto de los acontecimientos importantes.

 

Resumen
Robo W4SP: Por qué el malware Discord podría estar ya en tu código Python
Nombre del artículo
Robo W4SP: Por qué el malware Discord podría estar ya en tu código Python
Descripción
Visitemos los orígenes de W4SP Stealer y expliquemos cómo su infiltración en PyPI lo convierte en una amenaza para los desarrolladores de Python de todo el mundo,
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín