Vaya, hay malicia en sus repositorios: PyPI es el último en ser abusado

Heaven32 Comments
Vaya, hay malicia en sus repositorios: PyPI es el último en ser abusado
Vaya, hay malicia en sus repositorios: PyPI es el último en ser abusado

imágenes falsas

Los paquetes falsificados descargados aproximadamente 5.000 veces del repositorio oficial de Python contenían un código secreto que instalaba software de criptominería en máquinas infectadas, según descubrió un investigador de seguridad.

Los paquetes maliciosos, que estaban disponibles en el repositorio de PyPI, en muchos casos usaban nombres que imitaban los de los paquetes legítimos y de uso generalizado que ya estaban disponibles allí, Ax Sharma, investigador de la firma de seguridad Sonatype informó

. Los llamados ataques de typosquatting tienen éxito cuando los objetivos escriben mal accidentalmente un nombre como “mplatlib” o “maratlib” en lugar del paquete legítimo y popular. matplotlib.

Sharma dijo que encontró seis paquetes que instalaron software de criptominería que usarían los recursos de las computadoras infectadas para extraer criptomonedas y depositarlas en la billetera del atacante. Los seis fueron publicados por alguien que usaba el nombre de usuario de PyPI nedog123

, en algunos casos ya en abril. Los paquetes y los números de descarga son:

  • maratlib: 2,371
  • maratlib1: 379
  • matplatlib-plus: 913
  • mllearnlib: 305
  • mplatlib: 318
  • learninglib: 626

El código malicioso está contenido en el archivo setup.py de cada uno de estos paquetes. Hace que los equipos infectados utilicen el ubqminer o Tirano saurio Rex cryptominer para extraer monedas digitales y depositarlas en la siguiente dirección: 0x510aec7f266557b7de753231820571b13eb31b57

.

PyPI ha sido un repositorio del que se abusa con frecuencia desde 2016, cuando un estudiante universitario engañó a 17.000 programadores para que ejecutaran el guión incompleto que publicó allí.

No es que se abuse de PyPI más que de otros repositorios. El año pasado, los paquetes descargados miles de veces de RubyGems instalaron malware que intentó interceptar los pagos de Bitcoin. Dos años antes de eso, alguien abrió una puerta trasera en una biblioteca de códigos de 2 millones de usuarios alojada en NPM. Sonatpe tiene rastreó más de 12.000 paquetes NPM maliciosos desde 2019.

Es tentador pensar que una buena cantidad de las descargas contadas en estos eventos se realizaron automáticamente y nunca resultaron en que las computadoras se infectaran, pero el experimento del estudiante universitario vinculado anteriormente sostiene lo contrario. Su módulo de Python falsificado se ejecutó más de 45.000 veces en más de 17.000 dominios separados, algunos pertenecientes a organizaciones gubernamentales y militares de EE. UU. Este tipo de promiscuidad nunca fue una buena idea, pero debería estar estrictamente prohibido en el futuro.