Detectan malware en importante repositorio de Python

Especialistas de JFrog anunciaron de un descubrimiento de 11 paquetes maliciosos de Python en el repositorio Python Package Index (PyPI, repositorio de software oficial para aplicaciones de terceros en el lenguaje de programación Python), aparentemente diseñados para el robo de tokens de acceso a plataformas como Discord.

PyPi es el repositorio líder y un recurso inestimable para los desarrolladores que utilizan Python. Es una plataforma de uso gratuito con más de 600 mil usuarios involucrados en más de 390 mil proyectos. Por lo dicho, es también un espacio cuya seguridad es de gran importancia.

Los elementos infectados fueron subidos a la plataforma con la idea de presentarlos de una forma similar a producciones legítimas y engañar a los usuarios para que los descarguen. La buena noticia es que los administradores de PyPi han sido notificados y las entradas de los paquetes maliciosos fueron eliminadas.

Un par de ejemplos

Los nombres de los paquetes encontrados son importantpackage / important-package, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10/10Cent11, yandex-yt y yiffpartylos. Quienes han descubierto estos problemas advierten «importantpackage» de que abusa de la terminación TLS CDN para el robo de datos, además de utilizar Fastly CDN para ocultar las comunicaciones maliciosas con el servidor C&C.

El punto débil de la cadena

Aunque no existen datos sobre la cantidad de descargas de los malwares, se estima que podrían haber contaminado cientos de equipos. El ataque a los puntos claves de la cadena de suministro de desarrollo del software se ha vuelto una táctica cada vez más común. La idea es encontrar un espacio donde la seguridad no es tan buena o las personas actúan de un modo más descuidado. En el caso del repositorio Pypi, su sistema de instalación fácil se convirtió en un factor de riesgo. El comando pip install es cómodo, pero puede resultar en un acto precipitado antes de examinarse adecuadamente la procedencia del paquete.

Reduser, Genbeta

Queremos seguir creando cursos gratuitos en nuestro canal de YouTube. Solo te pedimos tu ayuda para crecer más. Suscríbete por favor. (Cursos, talleres y charlas gratis para ti).

Ernesto Mota
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Últimos artículos

a

Publicasciones relaciodadas

¿Quieres aprender a programar desde cero? Ver cursos
¿Quieres ganar una membresía anual? ¡Claro!