Varias bibliotecas maliciosas de Python Typosquatted encontradas en el repositorio de PyPI

Bibliotecas de Python

Hasta ocho paquetes de Python que se descargaron más de 30 000 veces se eliminaron del portal PyPI por contener código malicioso, lo que una vez más destaca cómo los repositorios de paquetes de software se están convirtiendo en un objetivo popular para los ataques a la cadena de suministro.

«La falta de moderación y controles de seguridad automatizados en los repositorios de software públicos permiten que incluso los atacantes sin experiencia los utilicen como una plataforma para propagar malware, ya sea mediante errores tipográficos, confusión de dependencias o simples ataques de ingeniería social», los investigadores de JFrog, Andrey Polkovnichenko, Omer Kaspi y Shachar. Menashé dijo el jueves.

PyPI, abreviatura de Python Package Index, es el repositorio oficial de software de terceros para Python, con utilidades de administración de paquetes como pip que se basan en él como la fuente predeterminada para los paquetes y sus dependencias.

Los paquetes de Python en cuestión, que se encontraron ofuscados usando la codificación Base64, se enumeran a continuación:

  • pitagora (subido por leonora123)
  • pytagora2 (subido por leonora123)
  • nobleza (subido por xin1111)
  • genesisbot (subido por xin1111)
  • son (subido por xin1111)
  • sufrir (subido por sufrir)
  • noblesse2 (subido por sufrimiento)
  • noblessev2 (subido por sufrimiento)

Se podría abusar de los paquetes antes mencionados para convertirlos en un punto de entrada para amenazas más sofisticadas, lo que permite al atacante ejecutar código remoto en la máquina de destino, acumular información del sistema, saquear información de tarjetas de crédito y contraseñas guardadas automáticamente en los navegadores Chrome y Edge, e incluso robar Tokens de autenticación de Discord para hacerse pasar por la víctima.

PyPI no está solo entre los repositorios de paquetes de software que han surgido como una superficie de ataque potencial para los intrusos, con paquetes maliciosos descubiertos en npm y RubyGems equipados con capacidades que potencialmente podrían interrumpir todo un sistema o servir como un valioso punto de partida para profundizar en la red de una víctima.

El mes pasado, Sonatype y Vdoo revelaron paquetes con errores tipográficos en PyPi que descargaron y ejecutaron un script de shell de carga útil que, a su vez, recuperó un criptominero de terceros como T-Rex, ubqminer o PhoenixMiner para minar Ethereum y Ubiq en la víctima. sistemas

«El descubrimiento continuo de paquetes de software malicioso en repositorios populares como PyPI es una tendencia alarmante que puede conducir a ataques generalizados a la cadena de suministro», dijo el CTO de JFrog, Asaf Karas. «La capacidad de los atacantes de usar técnicas simples de ofuscación para introducir malware significa que los desarrolladores deben estar preocupados y vigilantes. Esta es una amenaza sistémica y debe ser abordada activamente en varias capas, tanto por los mantenedores de los repositorios de software como por los desarrolladores. . . «

«Por parte de los desarrolladores, las medidas preventivas, como la verificación de las firmas de la biblioteca y el empleo de herramientas de seguridad de aplicaciones automatizadas que buscan indicios de código sospechoso incluido en el proyecto, deben ser una parte integral de cualquier proceso de CI/CD. Herramientas automatizadas como estos pueden alertar cuando se están utilizando paradigmas de códigos maliciosos”, agregó Karas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática