11 bibliotecas PyPI Python maliciosas atrapadas robando tokens de Discord e instalando shells

Los investigadores de ciberseguridad han detectado hasta 11 paquetes maliciosos de Python que se han descargado acumulativamente más de 41 000 veces del índice de paquetes de Python (PyPI) y podrían explotarse para robar tokens de acceso a Discord, contraseñas e incluso ataques por fases.

Desde entonces, los paquetes de Python se eliminaron del repositorio luego del descubrimiento responsable por parte de DevOps JFrog:

  • paquete importante
  • prueba de pp
  • tableros IP
  • lechuza
  • DiscordSeguridad
  • trrfab
  • 10 centavos 10/10 centavos 11
  • yandex-yt
  • yifffiesta

Dos de los paquetes («importantpackage», «10Cent10» y sus variantes) se encontraron al recuperar un shell en una computadora comprometida, lo que le dio al atacante control total sobre el sistema. Los otros dos paquetes «ipboards» y «trrfab» se hicieron pasar por dependencias legítimas diseñadas para importarse automáticamente mediante una técnica llamada intercambio de dependencia o intercambio de espacio de nombres.

A diferencia de los ataques de typosquatting, donde un agente insidioso publica deliberadamente paquetes con nombres de variantes favoritas mal escritos, la confusión funciona cargando una serie de componentes molestos con nombres que son los mismos que los paquetes privados internos legítimos, pero con una versión superior. , fuerza efectivamente al objetivo. administrador de paquetes para descargar e instalar el módulo malicioso.

La dependencia «importantpackage» también sobresale con su nuevo mecanismo de filtrado, que evita la detección de red, lo que implica el uso de la red de entrega de contenido (CDN) de Fastly para enmascarar su comunicación con un servidor controlado por un atacante como comunicación con pypi.[.]org.

El código malicioso «hace que se envíe una solicitud HTTPS a pypi.python[.]org (que es indistinguible de una solicitud PyPI legítima), que luego es redirigido por la CDN como una solicitud HTTP a [command-and-control] Los investigadores de JFrog, Andrey Polkovnychenko y Shachar Menashe, explicaron en un informe publicado el jueves.

Finalmente, tanto los «ipboards» como el quinto paquete llamado «pptest» fueron descubiertos utilizando túneles de DNS como método de filtrado de datos, confiando en las solicitudes de DNS como canal de comunicación entre la computadora de la víctima y el servidor remoto. JFrog dijo que esta era la primera vez que la técnica se veía en malware cargado en PyPI.

Los esfuerzos para apuntar a los registros de código populares, como el registro de JavaScript de Node Package Manager (NPM), PyPI y RubyGems, se han vuelto comunes y una nueva frontera para una serie de ataques.

«Los administradores de paquetes son un vector poderoso y en crecimiento para la instalación no intencional de código malicioso […] Los atacantes son cada vez más sofisticados en su enfoque «, dijo Menashe, director de investigación de JFrog. en software de código abierto».

De hecho, después de que al menos tres cuentas de desarrollador de NPM se vieran comprometidas por malos jugadores para poner código malicioso en los populares paquetes «ua-parser-js», «coa» y «rc», GitHub describió planes para reforzar la seguridad para el Registro de NPM antes. esta semana que se requerirá la autenticación de dos factores (2FA) para administradores y administradores a partir del primer trimestre de 2022.

Este desarrollo también se produce cuando la plataforma de desarrollo y control de versiones de software reveló que abordó varios errores de registro de NPM que podrían haber escapado a los nombres de paquetes privados y permitió a los atacantes eludir la autenticación y publicar versiones de cualquier paquete sin ninguna autorización.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática