Especialistas de JFrog anunciaron de un descubrimiento de 11 paquetes maliciosos de Python en el repositorio Python Package Index (PyPI, repositorio de software oficial para aplicaciones de terceros en el lenguaje de programación Python), aparentemente diseñados para el robo de tokens de acceso a plataformas como Discord.
PyPi es el repositorio líder y un recurso inestimable para los desarrolladores que utilizan Python. Es una plataforma de uso gratuito con más de 600 mil usuarios involucrados en más de 390 mil proyectos. Por lo dicho, es también un espacio cuya seguridad es de gran importancia.
Los elementos infectados fueron subidos a la plataforma con la idea de presentarlos de una forma similar a producciones legítimas y engañar a los usuarios para que los descarguen. La buena noticia es que los administradores de PyPi han sido notificados y las entradas de los paquetes maliciosos fueron eliminadas.
Un par de ejemplos
Los nombres de los paquetes encontrados son importantpackage / important-package, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10/10Cent11, yandex-yt y yiffpartylos. Quienes han descubierto estos problemas advierten «importantpackage» de que abusa de la terminación TLS CDN para el robo de datos, además de utilizar Fastly CDN para ocultar las comunicaciones maliciosas con el servidor C&C.
El punto débil de la cadena
Aunque no existen datos sobre la cantidad de descargas de los malwares, se estima que podrían haber contaminado cientos de equipos. El ataque a los puntos claves de la cadena de suministro de desarrollo del software se ha vuelto una táctica cada vez más común. La idea es encontrar un espacio donde la seguridad no es tan buena o las personas actúan de un modo más descuidado. En el caso del repositorio Pypi, su sistema de instalación fácil se convirtió en un factor de riesgo. El comando pip install es cómodo, pero puede resultar en un acto precipitado antes de examinarse adecuadamente la procedencia del paquete.