Diez bibliotecas maliciosas encontradas en PyPI - Python Package Index

La Oficina Nacional de Seguridad Eslovaca (NBU) ha identificado diez bibliotecas maliciosas de Python cargadas en PyPI - Python Package Index - el repositorio de software oficial de terceros para el lenguaje de programación Python.

Los expertos de NBU dicen que los atacantes usaron una técnica conocida como typosquatting para cargar bibliotecas Python con nombres similares a los paquetes legítimos, por ejemplo: "urlib" en lugar de "urllib".

El repositorio PyPI no realiza ningún tipo de verificación o auditoría de seguridad cuando los desarrolladores suben nuevas bibliotecas a su índice, por lo que los atacantes no tuvieron dificultad en cargar los módulos en línea.

Los desarrolladores que escribieron incorrectamente el nombre del paquete cargaron las bibliotecas maliciosas en los scripts de instalación de su software.


Las bibliotecas incluyeron código malicioso pero benigno

"Estos paquetes contienen exactamente el mismo código que su paquete ascendente, por lo que su funcionalidad es la misma, pero el script de instalación, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, se modifica para incluir un código malicioso (pero relativamente benigno)", explicó NBU.

Los expertos dicen que el código malicioso sólo recopiló información sobre hosts infectados, como el nombre y la versión del paquete falso, el nombre de usuario del usuario que instaló el paquete y el nombre de host del equipo del usuario.

Los datos recolectados, que parecían "Y: urllib-1.21.1 admin testmachine", se subieron a una dirección IP china en " 121.42.217.44:8080 ".


Paquetes eliminados la semana pasada

Funcionarios de la NBU contactaron a los administradores de PyPI la semana pasada, quienes retiraron los paquetes antes de que los funcionarios publicaran un aviso de seguridad el sábado. Se encontró que los siguientes paquetes contienen el código malicioso:

- acqusition (cargado 2017-06-03 01:58:01, suplanta la adquisición )
- apidev-coop (cargado 2017-06-03 05:16:08, suplanta apidev-coop_cms )
- bzip (cargado 2017-06-04 07 : 08: 05, suplanta bz2file )
- cripta (cargado 2017-06-03 08:03:14, suplanta el crypto )
- django-server (cargado 2017-06-02 08:22:23, suplanta django-server-guardian- api )
- pwd (cargado 2017-06-02 13:12:33, suplanta pwdhash )
- herramientas de configuración(cargado 2017-06-02 08:54:44, se impersona setuptools )
- telnet (cargado 2017-06-02 15:35:05, impersonates telnetsrvlib )
- urlib3 (uploaded 2017-06-02 07:09:29, se suma urllib3 )
- urllib (cargado 2017-06-02 07:03:37, se hace pasar por urllib3 )

El código malicioso fue diseñado para su uso con Python 2.x y generó errores cuando se usó en aplicaciones Python 3.x. Así es como los usuarios descubrieron su presencia mientras depuraban sus aplicaciones.

La evidencia sugiere que los paquetes contaminados lo convirtieron en un verdadero software
NBU dice que los paquetes maliciosos estaban activos entre junio de 2017 y septiembre de 2017, y hay pruebas de que fueron utilizados en varios paquetes de software.

Los expertos piden a los desarrolladores de Python que revisen su software y vean si usaron una de las bibliotecas contaminadas. Los paquetes de software deben ser recompilados con las versiones originales y limpias de las bibliotecas maliciosas.

En una nota lateral, y no relacionado con el vector de ataque, NBU también aconseja a los desarrolladores de Python que eviten usar "pip" - un instalador de paquetes Python - al descargar bibliotecas Python, ya que pip no soporta firmas criptográficas.

Este no es el primer caso cuando el repositorio de paquetes de un lenguaje de programación fue atrapado propagando paquetes maliciosos. El último incidente involucró el repositorio node de Node.js donde se extrajeron 38 módulos JavaScript para contener el código que robó variables de entorno.

Los indicadores de compromiso están disponibles en la alerta de seguridad NBU .
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

---

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta