El repositorio oficial de paquetes de Python bloqueó nuevos registros en respuesta a la última campaña de malware
Conclusiones clave
- PyPI bloqueó los registros de nuevos usuarios para combatir las cargas de malware mediante técnicas como typosquatting, dirigidas a bibliotecas populares de Python.
- Los paquetes maliciosos en PyPI contienen archivos setup.py cifrados que roban información del navegador, lo que indica la sofisticación de atacantes desconocidos.
- Más de 500 paquetes maliciosos distintos han sido cargados en PyPI por actores de amenazas desconocidos, lo que llevó a la Python Software Foundation a bloquear nuevos proyectos.
Si utiliza Python como lenguaje de programación durante las actividades de desarrollo de software, es posible que esté familiarizado con el Índice de paquetes de Python (PyPI). Este es el repositorio oficial de paquetes de Python y es esencialmente el lugar donde se descargan pandas, numpy, seaborn, matplotlib y otras bibliotecas cuando ejecutas nombre de la biblioteca de instalación de pip. Ahora, en una medida que puede sorprender a muchos, PyPI ha bloqueado el registro de nuevos usuarios en un intento de defenderse de una reciente campaña de malware.
¿Cómo se dirigen los actores de amenazas a PyPI?
Citando informes de jaquemarx y puesto de control, Pitido de computadora informó que los actores de amenazas han estado cargando paquetes de software malicioso en PyPI. Utilizan técnicas como typosquatting para hacer que los usuarios descarguen accidentalmente paquetes peligrosos. Para aquellos que no lo saben, typosquatting en este caso se refiere a la actividad de cargar paquetes con nombres similares para engañar a los usuarios. Por ejemplo, el paquete malicioso para matplotlib puede ser nombrado trama de comida l1b. Aunque este proceso no garantiza grandes beneficios económicos, permite a los atacantes tender una amplia red en busca de víctimas potenciales, especialmente imitando bibliotecas populares.
Los paquetes maliciosos detectados por los investigadores de seguridad contienen un configuración.py archivo que se ejecuta automáticamente después de instalar el paquete. Este fragmento de código está cifrado y genera dinámicamente una URL para descargar cargas útiles adicionales desde un servidor remoto, lo que indica al menos cierto nivel de sofisticación por parte de los atacantes. La carga útil del servidor remoto roba información del navegador web, incluidas credenciales, cookies y detalles de criptomonedas.
¿Quién está detrás de la campaña de malware?
Actualmente se desconoce qué actor o actores de amenazas están detrás del ataque, pero los investigadores de seguridad han observado que recientemente se han subido a PyPI más de 500 paquetes maliciosos con nombres e ID de correo electrónico lo suficientemente distintos para los perpetradores. Cada mantenedor solo subió un paquete, lo que podría significar que se utilizó cierto grado de automatización para orquestar el ataque. Además, todos los paquetes maliciosos tenían el mismo número de versión y el mismo código malicioso integrado en el software.
¿Cómo está respondiendo PyPI?
Por ahora, PyPI (gestionada por la Python Software Foundation) ha decidido bloquear la creación de nuevos proyectos, así como el registro de nuevos usuarios. La solución a largo plazo aún no está clara, pero resalta la necesidad de verificar los componentes de software utilizados en sus aplicaciones, incluso en entornos de desarrollo, sabiendo que los actores de malware también pueden incluso (temporalmente) eludir PyPI.