- Investigadores de seguridad encontraron dos paquetes en PyPI que muestran intenciones maliciosas
- Los paquetes dan a los atacantes acceso a sistemas y datos confidenciales.
- Los investigadores advierten a los desarrolladores que tengan cuidado al utilizar paquetes de terceros
Los expertos advirtieron que se sigue abusando de PyPI después de que los investigadores descubrieron más paquetes maliciosos escondidos en la plataforma.
A informe Los laboratorios FortiGuard de Fortinet descubrieron dos paquetes diseñados para robar las credenciales de inicio de sesión de las personas, otorgar acceso no autorizado a dispositivos y más.
Los investigadores dicen que observaron Zebo-0.1.0 y Cometlogger-0.1, dos paquetes que se hacen pasar por código legítimo, pero ocultan características maliciosas detrás de una lógica compleja y una confusión.
Contrabando de malware
“El script Zebo-0.1.0 es un ejemplo típico de malware, con funciones diseñadas para el seguimiento, la extracción de datos y el control no autorizado”, explicaron los investigadores. “Utiliza bibliotecas como pynput e ImageGrab, junto con técnicas de ofuscación, que indican una clara intención maliciosa”.
El script Cometlogger-0.1, por otro lado, viene con un conjunto diferente de comportamiento malicioso, como manipulación dinámica de archivos, inyección de webhooks, robo de datos y sondas anti-VM.
Ambos paquetes se describen como sofisticados, persistentes y peligrosos.
Python es uno de los lenguajes de programación más populares del mundo y, por su propia naturaleza, PyPI es uno de los repositorios de código abierto más populares del mundo. Los desarrolladores crean bloques de código y los comparten con sus pares a través de la plataforma. Luego, otros desarrolladores pueden usar estos bloques en sus propios proyectos, reduciendo el tiempo necesario para codificar varias funciones.
Esto brinda a los ciberdelincuentes la oportunidad de contrabandear códigos maliciosos, infectando innumerables proyectos a través de la cadena de suministro de software. A veces, pirateaban cuentas legítimas de desarrolladores y envenenaban sus soluciones, y otras veces interrumpían soluciones populares con la esperanza de que la gente descargara accidentalmente el paquete malicioso.
Podría decirse que el código abierto es más seguro, ya que el código está abierto al escrutinio de toda la comunidad, pero los investigadores aún recomiendan precaución y siempre verificar los scripts y ejecutables de terceros antes de ejecutarlos.
Además, las empresas también deberían mantener sus redes detrás de firewalls y configurar sistemas de detección de intrusiones para proteger su infraestructura.