Un reporte Se encuentran 4 mil módulos PyPI falsos. Ataques a la cadena de suministro en la comunidad de Pythonde seguridad de Sophos detalla el hallazgo de al menos 4000 bibliotecas falsas en el repositorio PyPI, todas cargadas por un usuario identificado como Remind Supply Chain Risks, Estas bibliotecas tienen nombres que se asemejan a los de proyectos legítimos y, por el momento, los investigadores no han detectado código malicioso más allá de un comando de Python para enviar datos a un servidor de terceros.
Los nombres de la mayoría de los paquetes falsos son más detallados y es poco probable que proporcionen descargas por error. Todas las falsificaciones encontradas ya han sido eliminadas por los investigadores.
Según el reporte, la descarga e instalación de paquetes desde PyPi se realiza lanzando el comando pip install (nombre del paquete), o bien mediante el instalador de un programa que requiera importar estos componentes adicionales. Cabe destacar que este es un escenario usualmente empleado por los actores de amenazas para cargar actualizaciones maliciosas en el repositorio objetivo.
Como resultado, el código malicioso penetra en la infraestructura completa de las organizaciones que usan los componentes comprometidos. Alex Birsan, especialista en ciberseguridad, recientemente demostró que es posible desplegar este tipo de ataques de cadena de suministro.
Los atacantes con menores conocimientos lo hacen más fácil: publican un paquete falso con un nombre engañoso para que los usuarios en un repositorio abierto descarguen una copia maliciosa. Los expertos creen que eso fue exactamente lo que hizo Remind Supply Chain Risks, cargando cinco paquetes falsos a PyPI
- Asteroids: Una imitación del controlador Asteriod para la grabación de audio
- beauitfulsoup4: Un falso analizador de sitios web falsos
- llvm: Imitación de la biblioteca llvmpy
- wwebsite: Copia de la caja de herramientas website
Al parecer, los componentes falsos están diseñados para recopilar datos de telemetría, es decir, información sobre la cantidad de descargas e instalaciones. Todos simplemente se conectan a un servidor remoto en Japón, proporcionan el nombre de su paquete e ignoran la respuesta, si es que la hubiera.
PyPI ha implementado un proceso de limpieza en sus creaciones, aunque Remind Supply Chain Risks no se ha dado por vencido. El 3 de marzo, este individuo lanzó un nuevo paquete falso, beatufulsoup4, al dominio público. En el nombre del nuevo proyecto se insinúa claramente la posibilidad de un error: “Es posible que desee instalar beautifulsoup4, no beautfulsoup4.”
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.