Los ciberdelincuentes han logrado introducir de contrabando un par de paquetes maliciosos en el Índice de paquetes de Python (PyPi), lo que pone a los desarrolladores y usuarios de Python en riesgo de robo de datos. (se abre en una pestaña nueva).
Los paquetes fueron descubiertos por investigadores de seguridad cibernética de Fortinet, quienes descubrieron cinco entidades separadas con un total de poco más de 600 descargas.
Los paquetes se llaman “3m-promo-gen-api”, “Ai-Solver-gen”, “hypixel-coins”, “httpxrequesterv2” y “httpxrequester”, y parecen haber sido subidos el 27 de enero, estando disponibles para descargar durante aproximadamente dos días antes de ser eliminado.
Robo de datos confidenciales
Los paquetes fueron diseñados para robar todo tipo de información confidencial, incluidas contraseñas guardadas en Chrome, Opera, Edge, Brave y otros navegadores, cookies de autenticación para Discord y datos de billetera para las billeteras de criptomonedas Atomic Wallet y Exodus. Además, los paquetes se dirigieron a varios sitios web en busca de información confidencial, incluidos Coinbase, Gmail, PayPal, eBay y otros.
Los paquetes también buscan ciertas palabras clave relacionadas con la banca, contraseñas, autenticación multifactor (MFA) y otra información confidencial. Si los encuentran, los robarán usando el servicio de transferencia de archivos “transfer.sh”.
Si bien los investigadores de Fortinet no pudieron vincular los paquetes maliciosos con ningún ladrón de información existente, BleepingEquipo afirma que los atacantes en realidad estaban distribuyendo el ladrón W4SP. Este ladrón de información supuestamente ha sido «fuertemente abusado» en los paquetes PyPI, afirma la publicación. Algunas de las palabras clave estaban en francés, lo que llevó a los investigadores a creer que los atacantes eran de origen francés.
Podría decirse que PyPI es el repositorio de paquetes de Python más popular del mundo, que alberga más de 200 000 paquetes que los desarrolladores pueden usar para acelerar su proceso de desarrollo. Como tal, es un objetivo importante para los ciberdelincuentes, y las noticias sobre ladrones de información descubiertos en paquetes de Python son cada vez más frecuentes.
La mayoría de las veces, los atacantes se hacen pasar por un paquete legítimo, con la esperanza de que los desarrolladores estén demasiado distraídos o sean demasiado perezosos para verificar la autenticidad del código que están capturando.
Vía: BleepingComputer (se abre en una pestaña nueva)