Los actores de amenazas han estado usando typosquatting para atacar a los desarrolladores de Python (se abre en una pestaña nueva) con malware, afirman los investigadores.
Los expertos de Spectralops.io analizaron recientemente PyPI, un repositorio de software para programadores de Python, y encontraron diez paquetes maliciosos en la plataforma. Todos estos recibieron nombres que son casi idénticos a los nombres de los paquetes legítimos para engañar a los desarrolladores para que descarguen y adopten los contaminados.
Este tipo de ataque se denomina typosquatting y es un hecho común entre los ciberdelincuentes. No se usa solo en repositorios de código (aunque hemos visto numerosos casos en GitHub, por ejemplo, en el pasado), sino también en correos electrónicos de phishing, sitios web falsos y robo de identidad.
Miles de desarrolladores en riesgo
Si las víctimas adoptan estos paquetes, estarían dando a los actores de amenazas claves para sus reinos, dado que el malware permite el robo de datos privados, así como el robo de credenciales de desarrollador. Luego, los atacantes enviaban los datos a un tercero, y las víctimas nunca sabían lo que sucedió. A día de hoy, recuerda Spectralops, PyPi tiene más de 600.000 usuarios activos, lo que sugiere que el panorama de amenazas es bastante grande.
“Estos ataques se basan en el hecho de que el proceso de instalación de Python puede incluir fragmentos de código arbitrarios, que es un lugar para que los jugadores maliciosos coloquen su código malicioso”, explicó Ori Abramovsky, líder de ciencia de datos en Spectralops.io. “Lo descubrimos usando modelos de aprendizaje automático que analizan el código de estos paquetes y alertan automáticamente sobre los maliciosos”.
Aquí está la lista completa de los paquetes afectados:
- Ascii2texto
- Pyg-utils, Pymocks y PyProto2
- Prueba asíncrona
- Free-net-vpn y Free-net-vpn2
- Zlibsrc
- navegador,
- WINRPCexpoit
Los investigadores se comunicaron con PyPI que, poco después, eliminó los paquetes maliciosos de su repositorio. Aún así, los desarrolladores que los descargaron en el pasado todavía están en riesgo y deberían actualizar sus contraseñas y otras credenciales de inicio de sesión, por si acaso.
“Lo que es notable aquí es cuán comunes son estos paquetes maliciosos”, continuó Abramovsky. “Son simples, pero peligrosos. Personalmente, una vez que me encontré con este tipo de ataques, comencé a verificar cada paquete de Python que uso. A veces incluso lo descargo y observo manualmente su código antes de instalarlo”.