imágenes falsas
Los investigadores han descubierto otro conjunto de paquetes maliciosos en PyPi, el repositorio oficial y más popular para programas y bibliotecas de código de Python. Aquellos engañados por los paquetes aparentemente familiares podrían estar sujetos a descargas de malware o robo de credenciales de usuario y contraseñas.
Check Point Research, que informó sus hallazgos el lunes, escribió que no sabía cuántas personas habían descargado los 10 paquetes, pero señaló que PyPi tiene 613.000 usuarios activos y su código se usa en más de 390.000 proyectos. Instalando desde PyPi a través del pip El comando es un paso fundamental para iniciar o configurar muchos proyectos de Python. PePy, un sitio que estima las descargas de proyectos de Python, sugiere que la mayoría de los paquetes maliciosos registraron cientos de descargas.
Estos ataques a la cadena de suministro se están volviendo cada vez más comunes, especialmente entre los repositorios de software de código abierto que admiten una gran parte del software del mundo. El repositorio de Python es un objetivo frecuente, ya que los investigadores encontraron paquetes maliciosos en septiembre de 2017; junio, julio y noviembre de 2021; y junio de este año. Pero también se han encontrado paquetes de trucos en RubyGems en 2020, NPM en diciembre de 2021 y muchos más repositorios de código abierto.
En particular, un ataque de cadena de suministro de fuente privada por parte de piratas informáticos rusos a través del software comercial SolarWinds causó estragos notables, lo que resultó en la infección de más de 100 empresas y al menos nueve agencias federales de EE. Service, el Departamento de Estado y el Departamento de Seguridad Nacional.
El descubrimiento cada vez más común de paquetes falsos y maliciosos está haciendo que los repositorios actúen. Justo ayer, GitHub, propietario del repositorio NPM para paquetes de JavaScript, abrió una solicitud de comentarios sobre la oferta de un sistema de suscripción para que los desarrolladores de paquetes firmen y verifiquen sus paquetes. Usando Sigstore, una colaboración entre numerosos grupos de fuente abierta y de la industria, los desarrolladores de NPM pueden firmar paquetes, lo que indica que el código dentro de ellos coincide con su repositorio original.
Tener una indicación clara de que el paquete que está descargando está relacionado con el código que necesita podría haber ayudado a las personas a evitar los actores maliciosos de PyPi descubiertos más recientemente, aunque quizás no del todo. “Ascii2text” copió directamente casi todos los aspectos de la biblioteca de arte ASCII “arte”, menos los detalles del lanzamiento. Para quizás casi 1000 descargadores, su nombre descriptivo podría haber sugerido un propósito más definido que “arte”.
La instalación de ascii2text desencadenó la descarga de un script malicioso, que luego buscó tokens, contraseñas o cookies en el almacenamiento local de Opera, Chrome y otros navegadores, junto con ciertas billeteras criptográficas, y las envió a un servidor Discord.
Otros paquetes descubiertos por Check Point estaban dirigidos a AWS y otras credenciales y variables de entorno. Aquí está la lista de paquetes PyPi informados y eliminados desde entonces:
- texto ascii2
- pyg-utils
- pymocks
- PyProto2
- prueba asíncrona
- free-net-vpn
- free-net-vpn2
- zlibsrc
- browserdiv
- WINRPPCexplotar