Los desarrolladores de Python están bajo ataque una vez más, con atacantes que buscan robar los detalles de la cuenta de Discord junto con los datos almacenados en varios navegadores.
Los investigadores de seguridad cibernética de Snyk detectaron recientemente una docena de paquetes maliciosos, cargados en PyPi, el repositorio de código Python más grande que existe, con más de 600,000 usuarios activos.
Los paquetes fueron subidos hace casi un mes por un actor de amenazas llamado “scarycoder”. Afirman proporcionar a los usuarios varias funcionalidades, herramientas de Roblox, gestión de subprocesos y otras. En cambio, los investigadores descubrieron que todo lo que hacen los paquetes es robar información confidencial.
Robo de contraseñas
Diferentes paquetes son capaces de robar diferentes cosas. Algunos se centran en los datos almacenados en navegadores como Google Chrome, Chromium, Microsoft Edge, Firefox y Opera. Los datos incluyen contraseñas almacenadas (se abre en una pestaña nueva), historial del navegador, cookies e historial de búsqueda. Otros están instalando puertas traseras directamente en el cliente de Discord, robando tokens de autenticación, estado de Nitro, información de facturación y datos de tarjetas de crédito.
Uno de los programas maliciosos ataca a Roblox, se dijo además, robando las cookies de la cuenta, las identificaciones de usuario, el saldo de Robux y el estado Premium.
Los administradores de PyPi son relativamente lentos en responder, afirma la publicación, y agrega que probablemente no se deba a negligencia, sino al hecho de que todo el proyecto está a cargo de un puñado de voluntarios que simplemente no pueden seguir el ritmo de una ola de cargas de malware.
Aún así, la respuesta lenta significa que muchos de los desarrolladores de Python seguirán expuestos a varios virus, malware (se abre en una pestaña nueva)y otras formas de ataques.
Los expertos de Spectralops encontraron recientemente 10 paquetes maliciosos en la plataforma PyPi. Todos estos recibieron nombres que son casi idénticos a los nombres de los paquetes legítimos para engañar a los desarrolladores para que descarguen y adopten los contaminados. La práctica se llama typosquatting, y es algo bastante común en la comunidad de desarrolladores.
Vía: BleepingComputer (se abre en una pestaña nueva)