En
esta ocasión, se han fijado en el índice de paquetes de Python (también
conocido como PyPi). Expertos en seguridad han detectado que al menos 10
librerías falsas se estaban distribuyendo. Indican que la mayoría utilizan
nombres similares a librerías legítimas, pero con pequeños cambios que en
muchos casos los usuarios no son capaces de apreciar.
Es decir, se aprovechan que los
usuarios en muchas ocasiones escriben mal el nombre de las librerías para crear
copias falsas que poseen código malware. Por ejemplo, se está distribuyendo
urlib, pero la legítima es urllib. Siguiendo esta regla de creación de
librerías, se han llegado a crear hasta 10 falsas, de acuerdo a lo que han
visto los expertos en seguridad.
Esto es una prueba más de hasta dónde
puede llegar al astucia de los ciberdelincuentes. Está claro que no se limitan
solo a los usuarios con poco conocimientos. Este es un claro ejemplo cómo
buscan infectar a usuarios desarrolladores de contenidos software.
El repositorio que se ha visto
afectado es uno de los más importantes. Sin embargo, cuenta con un claro
inconveniente de cara a la seguridad de los usuarios. A lo que nos referimos,
es que los paquetes que se publican no pasan por ningún tipo de verificación a
nivel de seguridad. Lo que queremos decir, es que nada evita que cualquiera
pueda subir código malware.
Expertos en seguridad indican que la
funcionalidad es idéntica a la librería original, por lo tanto, el desarrollador
no apreciará ningún tipo de diferencia en lo que se refiere a funcionamiento.
Las librerías malware
de PyPi poseen un script diferente de instalación
Lo que sí cambia es el proceso de
instalación, instalando el script que podemos considerar malware. A pesar de
ser un código malicioso, hay que decir que por el momento no supone un drama
para la seguridad de los dispositivos afectados. Por el momento, los expertos
en seguridad indican que solo se limita a recopilar información de los equipos
que se han visto infectados.
La información recopilada se envía al
servidor 121.42.217.44:8080 ubicado de acuerdo a los expertos en seguridad en
China.
Este es el listado de paquetes que se
han eliminado y que contenían el script de instalación modificado:
·
acqusition
·
apidev-coop
·
bzip
·
crypt
·
django-server
·
pwd
·
setup-tools
·
telnet
·
urlib3
·
urllib
Los responsables del repositorio han
advertido a los usuarios sobre esto, instando a la revisión del código de las
aplicaciones y en optar por la desinstalación e instalación de la legítima.
Sobre la implantación de un sistema de
verificación no se ha realizado ninguna declaración, aunque debería ser un
proyecto a medio plazo, sobre todo porque es algo que se puede repetir y ser
algo frecuente.
No es el primer
problema de estas características que se ha detectado
Tal y como era de imaginar, no ha sido
la única ocasión en la que nos hemos encontrado con una situación similar. La
otra vez que nos encontramos una situación similar tenía como protagonista el
repositorio de Node.js. Los ciberdelincuentes tuvieron acceso a la gestión del
servidor y publicaron versiones afectadas por malware.
Fuente:Bleeping Computer