PyPI suspende el registro de nuevos usuarios para bloquear campaña de malware

Iniciado por AXCESS, Marzo 28, 2024, 11:05:27 PM

Tema anterior - Siguiente tema

0 Miembros y 3 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 28, 2024, 11:05:27 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El Python Package Index (PyPI) ha suspendido temporalmente el registro de usuarios y la creación de nuevos proyectos para hacer frente a una campaña de malware en curso.

PyPI es un índice para proyectos de Python que ayuda a los desarrolladores a encontrar e instalar paquetes de Python.

Con miles de paquetes disponibles, el repositorio es un objetivo atractivo para los actores de amenazas, que a menudo cargan paquetes falsos o con errores tipográficos para comprometer a los desarrolladores de software y realizar posibles ataques a la cadena de suministro.

Dicha actividad ha obligado a los administradores de PyPI a anunciar hoy que todos los registros de nuevos usuarios han sido suspendidos para permitir mitigar la actividad maliciosa.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Campaña de malware

Un informe de Checkmarx informa que los actores de amenazas comenzaron ayer a cargar paquetes en PyPI 365 con nombres que imitan proyectos legítimos.

Los paquetes incluyen código malicioso dentro del archivo 'setup.py' que se ejecuta durante la instalación, intentando recuperar una carga útil adicional de un servidor remoto.

Para evadir la detección, el código malicioso se cifra mediante el módulo Fernet y la URL del recurso remoto se construye dinámicamente cuando es necesario.

La carga útil final es un ladrón de información con capacidades de persistencia que apunta a datos almacenados en navegadores web, como contraseñas de inicio de sesión, cookies y extensiones de criptomonedas.

Info-stealer payload
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Checkmarx pone a disposición en su informe la lista completa de entradas maliciosas que encontraron, que contiene numerosas variantes de errores tipográficos para muchos paquetes legítimos.

Sin embargo, según un informe de Check Point, la lista de paquetes maliciosos supera los 500 y se implementaron en dos etapas. Los investigadores dicen que cada paquete se originó a partir de cuentas de mantenimiento únicas con nombres y correos electrónicos distintos.

"En particular, cada cuenta de mantenimiento cargó sólo un paquete, lo que indica la utilización de la automatización para orquestar el ataque", explica Check Point.

Los investigadores dicen que todas las entradas tenían el mismo número de versión, contenían el mismo código malicioso y los nombres aparecen generados mediante un proceso de aleatorización.

Este incidente subraya la importancia de que los desarrolladores de software y los mantenedores de paquetes utilicen repositorios de código abierto para verificar rigurosamente la autenticidad y seguridad de los componentes que utilizan en sus proyectos.

Esta no es la primera vez que PyPI toma medidas tan agresivas para proteger a su comunidad de envíos maliciosos. Los mantenedores del repositorio tomaron la misma medida el año pasado, el 20 de mayo.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario