Varios paquetes maliciosos de Python disponibles en el repositorio de PyPI fueron capturados robando información confidencial como las credenciales de AWS y transmitiéndola a puntos finales expuestos públicamente a los que cualquiera puede acceder.
PyPI es un repositorio de paquetes de código abierto que los desarrolladores de software utilizan para elegir los componentes básicos de sus proyectos basados en Python o compartir su trabajo con la comunidad. Si bien PyPI generalmente responde rápidamente a los informes de paquetes maliciosos en la plataforma, no hay una verificación real antes del envío, por lo que los paquetes peligrosos pueden estar al acecho durante un tiempo.
Las empresas de seguridad de la cadena de suministro de software como Sonatype utilizan herramientas de detección de malware automatizadas especializadas para detectarlos y, en este caso, identificaron los siguientes paquetes como maliciosos:
- módulos loglib
- Pyg-módulos
- pigrata
- pygrata-utils
- hkg-sol-utils
Mientras que los primeros dos paquetes intentan imitar proyectos legítimos y populares en PyPI para engañar a los usuarios descuidados o sin experiencia para que los instalen y los otros tres no tienen una orientación aparente, los cinco presentan similitudes o conexiones en el código.
Exponiendo datos robados
Los analistas de Sonatype J. Cardona y C. Fernandez pensaron que los paquetes 'loglib-modules' y 'pygrata-utils' se crearon para la exfiltración de datos, el robo de credenciales de AWS, información de interfaz de red y variables de entorno. Curiosamente, 'pygrata' no contiene la función de robo de datos por sí misma, sino que requiere 'pygrata-utils' como dependencia.
Es por eso que, aunque cuatro de los paquetes maliciosos se informaron y eliminaron de PyPI de inmediato, 'pygrata' permaneció allí por más tiempo, aunque no pudo hacer mucho por sí solo. Los datos robados se almacenan en archivos TXT y se cargan en un dominio PyGrata[.]com. Sin embargo, el punto final no está debidamente protegido, por lo que los analistas podrían echar un vistazo a lo que los actores de la amenaza habían robado.
Actuando éticamente y bajo la presunción de que podrían estar perdiendo algo, los dos analistas contactaron a los propietarios de los dominios para informarles de la exposición pública y solicitar explicaciones. Poco después, el punto final se protegió del acceso público sin que Sonatype recibiera una respuesta. Esto probablemente significa que el propósito de estos paquetes y el dominio de alojamiento de datos no es legítimo.
Incluso si estos paquetes se usaron para pruebas de seguridad legítimas y los operadores detrás de ellos nunca tuvieron la intención de explotar los detalles robados, su presencia en PyPI podría haber expuesto a los "participantes involuntarios" a un riesgo significativo ya que sus credenciales finalmente quedaron expuestas.
Seguridad PyPI
Dado que estos paquetes maliciosos no usan trucos de typosquatting, no se dirigen aleatoriamente a los desarrolladores que escribieron mal un carácter, sino a los usuarios que buscan herramientas específicas para sus proyectos.
Se recomienda a los desarrolladores de software que vayan más allá de los nombres de los paquetes y analicen los historiales de lanzamiento, las fechas de carga, los enlaces de la página de inicio, las descripciones de los paquetes y los números de descarga, todo lo cual ayuda a determinar colectivamente si un paquete de Python es real o una falsificación peligrosa.
Fuente: bleepingcomputer | somoslibres
