El repositorio de software oficial para el lenguaje Python, Índice de paquetes de Python (PyPI)ha sido objeto de un complejo ataque a la cadena de suministro que parece haber envenenado con éxito al menos dos proyectos legítimos con malware de robo de credenciales, dijeron investigadores el jueves.
Funcionarios PyPI dijo la semana pasada que los colaboradores del proyecto estaban bajo un ataque de phishing que intentaba engañarlos para que divulgaran las credenciales de inicio de sesión de su cuenta. Cuando tenían éxito, los phishers usaban las credenciales comprometidas para publicar malware que se hacía pasar por la última versión de proyectos legítimos asociados con la cuenta. PyPI eliminó rápidamente las actualizaciones comprometidas e instó a todos los contribuyentes a usar formas de autenticación de dos factores resistentes al phishing para proteger mejor sus cuentas.
Hoy recibimos informes de una campaña de phishing dirigida a usuarios de PyPI. Este es el primer ataque de phishing conocido contra PyPI.
Estamos publicando los detalles aquí para generar conciencia sobre lo que probablemente sea una amenaza continua.
— Índice de paquetes de Python (@pypi) 24 de agosto de 2022
El jueves, investigadores de las firmas de seguridad SentinelOne y Checkmarx dijeron que los ataques a la cadena de suministro eran parte de una campaña más amplia de un grupo que ha estado activo desde al menos finales del año pasado para difundir malware de robo de credenciales que los investigadores denominan JuiceStealer. Inicialmente, JuiceStealer se propagó a través de una técnica conocida como typosquatting, en la que los actores de amenazas sembraron PyPI con cientos de paquetes que se parecían mucho a los nombres de los bien establecidos, con la esperanza de que algunos usuarios los instalaran accidentalmente.
JuiceStealer se descubrió en VirusTotal en febrero cuando alguien, posiblemente el autor de la amenaza, envió una aplicación de Python que instaló el malware de forma subrepticia. JuiceStealer se desarrolla utilizando el marco de programación .Net. Busca contraseñas almacenadas por Google Chrome. Según la información obtenida del código, los investigadores vincularon el malware con la actividad que comenzó a fines de 2021 y ha evolucionado desde entonces. Una posible conexión es Nowblox, un sitio web fraudulento que pretendía ofrecer Robux gratis, la moneda en línea para el juego. Roblox.
Con el tiempo, el actor de amenazas, al que los investigadores llaman JuiceLedger, comenzó a usar aplicaciones fraudulentas con temas criptográficos, como el bot Tesla Trading, que se entregó en archivos zip que acompañaban a software legítimo adicional.
“JuiceLedger parece haber evolucionado muy rápidamente de infecciones oportunistas a pequeña escala hace solo unos meses a realizar un ataque a la cadena de suministro en un importante distribuidor de software”, escribieron los investigadores en un artículo. correo. “La escalada en la complejidad del ataque a los contribuyentes de PyPI, que involucra una campaña de phishing dirigida, cientos de paquetes con errores tipográficos y tomas de control de cuentas de desarrolladores confiables, indica que el actor de amenazas tiene tiempo y recursos a su disposición”.
PyPI ha comenzado a ofrecer a los contribuyentes claves gratuitas basadas en hardware para que las utilicen en la provisión de un segundo factor de autenticación no phishing. Todos los contribuyentes deben cambiar a esta forma más sólida de 2FA de inmediato. Las personas que descargan paquetes de PyPI, o cualquier otro repositorio de código abierto, deben tener especial cuidado para asegurarse de que el software que descargan sea legítimo.