Paquetes de PyPI maliciosos con más de 10,000 descargas eliminadas

El registro del índice de paquetes de Python (PyPI) ha eliminado tres paquetes de Python maliciosos destinados a filtrar las variables del entorno y soltar troyanos en las máquinas infectadas.

Se estima que estos paquetes maliciosos han generado más de 10,000 descargas y espejos juntos, según el informe de los investigadores.

El análisis estático a gran escala condujo a un descubrimiento malicioso

Esta semana,  Andrew Scott , desarrollador y gerente senior de productos de Palo Alto Networks, informó haber descubierto tres paquetes de Python maliciosos en el registro de código abierto de PyPI.

Estos paquetes maliciosos, que se muestran a continuación, se han descargado y duplicado en total casi 15.000 veces.

La primera versión de dpp-client apareció en PyPI alrededor del 13 de febrero de 2021 y la de dpp-client1234 el 14. Considerando que, la primera versión de  aws-login0tool  apareció más recientemente, el 1 de diciembre.


Mientras realizaba un análisis estático a gran escala de "un gran porcentaje de los paquetes en PyPI", Scott se encontró con estos paquetes de aspecto misterioso.

"Los detecté principalmente mediante la inspección manual de los archivos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que coincidían con varias cadenas de sospecha y patrones de  expresiones regulares que estaba buscando", le dice Scott a BleepingComputer en una entrevista por correo electrónico.

"Por ejemplo, la mayoría de los casos de ejecutivos fueron benignos, pero es un método arriesgado de usar y comúnmente aprovechado por atacantes que crean paquetes maliciosos".

Para ayudar en su investigación, Scott hizo uso del proyecto de código abierto Bandersnatch de Python Packaging Authority .

"Una vez que descargué una gran cantidad de distribuciones de paquetes, necesitaba extraerlas para facilitar el análisis. Creé una secuencia de comandos de Python bastante simple para iterar de forma recursiva a través de la estructura de carpetas algo complicada de Bandersnatch, luego descomprimí y extraje cada sdist , egg o wheel a un directorio plano ", explica el desarrollador en su publicación de blog

Después de extraer los paquetes, el desarrollador ejecutó una serie de operaciones de búsqueda basadas en cadenas y expresiones regulares a través de la  utilidad grep y revisó manualmente los resultados.

"El resultado de este enfoque simple fue realmente impactante".

Se dirige a PC con Windows, distribuciones de Linux que ejecutan Apache Mesos

El paquete aws-login0tool se dirige a máquinas Windows y descarga un ejecutable malicioso de 64 bits,  normal.exe del  dominio tryg [.] Ga .

El ejecutable malicioso ha sido identificado como un troyano por el  38% de los motores antivirus  en VirusTotal, al momento de escribir:


Por el contrario, la DPP-cliente y DPP-client1234 sistemas Linux objetivo y mirada en las variables de entorno, listado de directorios, y exfiltrate esta información a la  pt.traktrain [.] Com dominio .

Estos paquetes intentan hacer palanca en algunos directorios seleccionados, incluido  / mnt / mesos , lo que indica que el malware está buscando específicamente archivos relacionados con Apache Mesos , un producto de administración de clústeres de código abierto.


Lo que sigue siendo un misterio es una gran cantidad de descargas y espejos para estos paquetes.

A primera vista,  aws-login0tool  parece ser un intento de erradicar errores tipográficos, como señala el desarrollador: las teclas '0 'y' - 'están presentes una al lado de la otra en la mayoría de los teclados. Sin embargo, BleepingComputer no tiene conocimiento de un paquete PyPI activo llamado 'aws-login-tool' que un atacante inteligente podría tener la tentación de suplantar. Aunque, uno puede haber existido  en el pasado.

BleepingComputer también observó que la página PyPI para  aws-login0tool , cuando estaba viva, contenía un descargo de responsabilidad explícito que indicaba al usuario que no descargara el paquete:

"Por favor, no uses esto ... Hace cosas malas ... Oh, querido "


Del mismo modo, las páginas del proyecto para los  paquetes dpp-client y  dpp-client1234 , como las vio BleepingComputer, contenían una palabra clave simple "prueba" en su descripción, lo que insinuaba que eran, muy probablemente, parte de un ejercicio de prueba de concepto.

Este desarrollo sigue a instancias continuas de malware y contenido no deseado que apuntan a repositorios de código abierto como PyPI, npm y RubyGems.
El mes pasado, el equipo de investigación de seguridad de JFrog informó haber detectado a los ladrones de información de Discord entre otros paquetes maliciosos de PyPI que abusaron de una técnica de "exfiltración novedosa".

El mismo mes, escribí sobre un paquete PyPI malicioso que hizo un  tosco intento de erradicar  'boto3', el SDK de Amazon Web Services para Python.

En julio de este año, también se detectaron seis paquetes PyPI maliciosos extrayendo  criptomonedas en las máquinas de desarrollo.

Afortunadamente, los tres paquetes mencionados anteriormente descubiertos por Scott se informaron a los administradores de PyPI el 10 de diciembre y se eliminaron rápidamente.

Actualización 07:26 AM ET: cita agregada de Scott.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta