Una campaña maliciosa consiste en publicar una copia maliciosa de un paquete conocido en PyPI, el repositorio oficial del lenguaje de programación Python.
31 de marzo
2023
– 17:21
(actualizado a las 19:54)
Los repositorios de lenguajes de programación oficiales siguen siendo el objetivo de los ataques de phishing, en los que los atacantes simulan la apariencia y la funcionalidad de software legítimo para distribuir virus. La bala del momento, nuevamente, es PyPI, que proporciona soluciones para Python, que se utiliza para lanzar una edición maliciosa de kits de herramientas conocidos, ahora con el objetivo de robar datos de desarrolladores y empresas.
En la campaña, los delincuentes intentan hacerse pasar por los desarrolladores de aiotools, que reúne diferentes recursos y utilidades para los programadores. Con un nombre similar, aiotoolsbox, brindan efectivamente la funcionalidad deseada por quienes los descargan, pero vienen con malware destinado a robar información personal, como credenciales o secretos de acceso al sistema.
La operación llamó la atención de los expertos de Check Point Research, quienes emitieron la alerta para obtener la copia completa de la solución, mientras que la mayoría de estas estafas se limitan a usar solo nombres y otra información oficial. Según la firma de seguridad, también vale la pena señalar que la cuenta utilizada por los delincuentes se creó originalmente en 2019, y los paquetes maliciosos solo se lanzaron ahora, una indicación de que se trataba de un perfil legítimo, que terminó siendo comprometido por piratas informáticos.
También se utilizan otros métodos para ocultar la actividad maliciosa, como alojar malware descargado en paralelo en servidores que también intentan simular servicios oficiales para el lenguaje Python. Los códigos enmascarados también están presentes en la solución para dificultar su detección mediante escaneo manual y automático, mientras que los fragmentos utilizados para instalar la plaga se eliminan una vez que finaliza la infección, dejando menos rastros.
El equipo de Check Point también encontró un segundo paquete, publicado por otro perfil, pero aparentemente relacionado con la campaña. La solución async-proxy, centrada en la sincronización de datos, no busca simular herramientas legítimas, sino que descarga la edición maliciosa de aiotools, contaminando a los usuarios interesados en ella y exponiéndolos a la misma operación de robo de datos de desarrollo.
Según los investigadores, los paquetes maliciosos también recibieron varias actualizaciones, con cambios en los archivos de configuración y marcos. Esto también cambió la dirección IP de origen de las conexiones, inicialmente rusas y luego alemanas, también una forma de enmascarar la actividad, ya que la primera dirección puede atraer más atención que la última en una indagación en la red.
Según Check Point, la alerta se refiere al uso de estas soluciones falsas en las estafas de la cadena de suministro. Al descargar herramientas maliciosas, los desarrolladores pueden comprometer sus proyectos y llevar el malware a más profesionales, empresas y, en última instancia, a los usuarios, y la cadena de explotación adquiere mayor aire que su propagación inicial.
Por este motivo, se recomienda precaución al descargar paquetes de PyPI y otros repositorios de código. Lo ideal es buscar perfiles de desarrolladores conocidos y legítimos, que brinden apoyo constante y que cuenten con calificaciones y comentarios de otros usuarios; evitar cuentas nuevas o con pocas publicaciones, por ejemplo, ayuda a mantener la seguridad en la producción de software.
Tendencia en Canaltech:
«Explorador apasionado. Aficionado al alcohol. Fanático de Twitter. Webaholic galardonado. Aficionado a la comida. Geek de la cultura pop. Organizador».
