El Índice de paquetes de Python (PyPI) ha suspendido la creación de nuevos proyectos y el registro de usuarios para mitigar una campaña de carga de malware en curso. Este movimiento surge cuando los investigadores de seguridad de Checkmarx descubierto una campaña que involucra múltiples paquetes maliciosos relacionados con los mismos actores de amenazas.
Los atacantes se dirigen a las víctimas mediante ataques de typosquatting, engañando a los usuarios para que instalen paquetes maliciosos de Python a través de su interfaz de línea de comandos. Este ataque de varias etapas tiene como objetivo robar billeteras de criptomonedas, datos confidenciales del navegador, como cookies y datos de extensiones, y varias credenciales.
La carga útil maliciosa también emplea un mecanismo de persistencia para sobrevivir a los reinicios del sistema, lo que garantiza el acceso continuo a las máquinas comprometidas.
Paquetes maliciosos de typosquatting
Entre el 27 y el 28 de marzo de 2024, se cargaron varios paquetes Python maliciosos en PyPI, probablemente utilizando herramientas de automatización. Estos paquetes contenían código malicioso dentro de sus archivos setup.py, lo que permitía la ejecución automática tras la instalación.
Los archivos setup.py contenían código ofuscado y cifrado utilizando el módulo de cifrado Fernet. Tras la instalación, este código se ejecutaría, lo que desencadenaría la recuperación de una carga útil adicional de un servidor remoto. La URL de carga útil se construyó dinámicamente agregando el nombre del paquete como parámetro de consulta.
Una vez descifrada, la carga útil recuperada reveló un extenso ladrón de información diseñado para recopilar información confidencial de la máquina de la víctima, incluidas carteras de criptomonedas, datos del navegador y credenciales.
En respuesta a la campaña de malware, PyPI suspendió temporalmente la creación de nuevos proyectos y el registro de nuevos usuarios. Esta medida tiene como objetivo mitigar la amenaza actual mientras la organización investiga y aborda el problema.
Puede encontrar una lista completa de los paquetes descubiertos por Checkmarx aquí.
(Foto por David Clode en desempaquetar)
Ver también: La corrección automática de escaneo de código de GitHub entra en versión beta pública
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Verificar Exposición de seguridad cibernética y nube que tendrá lugar en Amsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos bloquex, Semana de la Transformación Digital, Exposición de tecnología de IoT y Exposición de IA y Big Data.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.