Los estafadores han engañado a los mantenedores de paquetes PyPI Python para que den sus credenciales de inicio de sesión, luego usaron las contraseñas para iniciar sesión y contaminar los paquetes con malware, afirman los expertos.
La noticia fue confirmada por el miembro de la junta del proyecto Django, Adam Johnson, luego de ser atacado él mismo, con «cientos» de paquetes afectados.
Según el informe, un actor de amenazas desconocido envió correos electrónicos de phishing a los mantenedores de paquetes, alegando que necesitaban «validarse» a sí mismos, de lo contrario, sus paquetes serían eliminados de la plataforma. Johnson dijo que hacer clic en el enlace del correo electrónico envió a los objetivos a un sitio de phishing «bastante convincente».
Cientos de paquetes contaminados
Algunos mantenedores cayeron en la trampa, dice el informe, y dieron sus credenciales de inicio de sesión a los estafadores. Usaron esa información para secuestrar “varios cientos” de paquetes, que luego fueron eliminados de la plataforma, según se confirmó. Entre las cosas maliciosas que hace el código está filtrar el punto final (se abre en una pestaña nueva)el nombre de la computadora al dominio linkedopports[.]com y descargando un troyano.
«Estamos revisando activamente los informes de nuevas versiones maliciosas y nos aseguramos de que se eliminen y se restablezcan las cuentas del mantenedor», dice PyPI. «También estamos trabajando para proporcionar características de seguridad como 2FA más frecuentes en todos los proyectos en PyPI».
PyPI, el repositorio de código Python más grande del mundo, con más de 600 000 usuarios activos, ha estado bajo una lluvia de ataques últimamente. Hace menos de un mes, los investigadores encontraron casi una docena de paquetes maliciosos, todos «typosquats». Typosquatting es una técnica de distribución de malware en la que el paquete malicioso tiene un nombre casi idéntico al auténtico, con solo un pequeño «error tipográfico», que podría engañar a los desarrolladores para que descarguen y usen ese paquete, en lugar del auténtico.
La semana pasada se descubrieron otra docena de paquetes maliciosos cuyo objetivo era robar (se abre en una pestaña nueva) datos confidenciales almacenados en los navegadores, instalar puertas traseras en el cliente Discord, robar tokens de autenticación y datos de pago.
Vía: BleepingComputer (se abre en una pestaña nueva)