PyPl – Magazine Office

PyPl suspende nuevos proyectos y registros de usuarios tras la avalancha de malware

John — Mon, 22 May 2023 17:39:36 +0000

El repositorio más grande del mundo para paquetes Python de código abierto, PyPI, deshabilitó los registros de nuevos usuarios y prohibió a los usuarios existentes cargar nuevos proyectos durante el fin de semana, citando una avalancha inmanejable de código malicioso que se está cargando en la plataforma.

En un anuncio publicado en la página de estado de PyPI, la organización dijo: “El volumen de usuarios maliciosos y proyectos maliciosos que se crearon en el índice durante la semana pasada superó nuestra capacidad para responder de manera oportuna, especialmente con múltiples administradores de PyPI. De vacaciones.»

El equipo planeó «reagruparse durante el fin de semana» y pronto, el domingo por la noche (alrededor de las 10 p. m. UTC), se levantó la suspensión.

Ataques a la cadena de suministro

Los ataques a la cadena de suministro están de moda en estos días y, como resultado, los repositorios de código abierto se han convertido en un objetivo atractivo para los ciberdelincuentes y los piratas informáticos. En estos días, la mayoría de las empresas están incorporando software de código abierto en sus productos, al menos hasta cierto punto. Al meter paquetes maliciosos en el repositorio, los actores de amenazas esperan que los equipos de TI los detecten, comprometiendo no solo el producto que están creando, sino toda su red e infraestructura.

La mayoría de las veces, los actores maliciosos se involucrarían en «typosquatting», creando paquetes maliciosos con nombres casi idénticos a los paquetes benignos ya existentes. De esa manera, esperan que los desarrolladores imprudentes, con exceso de trabajo o con poco personal no noten la diferencia y elijan el paquete equivocado para su solución.

Para generar credibilidad y hacer que más personas descarguen su malware, los actores de amenazas también generarían reseñas falsas y aumentarían sus números de descarga con la ayuda de bots e inteligencia artificial.

En los últimos meses, los ataques a los desarrolladores de Python a través de PyPI se han intensificado y hemos informado al menos seis incidentes separados que se descubrieron este año.

Los piratas informáticos generalmente buscan instalar infostelaers, que los ayudan a robar credenciales y acceder a activos valiosos de la empresa.

Source link-35

Se descubre que otro paquete PyPl es simplemente una carga de malware

John — Mon, 06 Mar 2023 11:40:33 +0000

Los investigadores de seguridad descubrieron otra maliciosa (se abre en una pestaña nueva) Paquete PyPI, cuyo objetivo es robar datos confidenciales de las personas y permitir que los usuarios no autenticados accedan al punto final comprometido.

El paquete, llamado “colorfool”, obviamente era malicioso, dijeron. Tenía un archivo de Python «sospechosamente grande» cuya única tarea era descargar otro archivo de Internet y ejecutarlo, mientras se aseguraba de que permaneciera oculto para el usuario del dispositivo.

«La función, por lo tanto, inmediatamente pareció sospechosa y probablemente maliciosa», afirma el informe.

Código de «préstamo»

Para empeorar las cosas, eso ni siquiera era lo único sospechoso de este archivo. La URL desde la que el paquete necesita descargar la carga útil estaba codificada, lo cual es otra señal de alerta.

El script de Python, code.py, realizaba funciones de robo de información, como el registro de teclas y la exfiltración de cookies. Además, era capaz de robar contraseñas, matar aplicaciones, tomar capturas de pantalla, robar datos de billeteras criptográficas e incluso usar la cámara web del dispositivo.

Lo que diferencia a este paquete de todos los demás paquetes PyPI maliciosos que los investigadores de seguridad descubren casi a diario es su naturaleza similar a la de Frankenstein. El código fue remendado a partir de partes del trabajo de otras personas, a veces sin tener en cuenta la lógica, el flujo del código o cualquier otra cosa, sugieren los investigadores. Como si el autor simplemente hubiera copiado y pegado partes del código, a menudo dejando el exceso de código simplemente ahí.

«La combinación de ofuscación junto con código malicioso flagrante indica que es poco probable que todo el código haya sido desarrollado por una sola entidad», dijeron los investigadores. «Es posible que el desarrollador final haya utilizado principalmente el código de otras personas, agregándolo copiando y pegando».

De hecho, el código incluye incluso el juego «Serpiente» que no parece tener ningún propósito en particular.

Para los investigadores, este es un ejemplo perfecto de la «democratización del delito cibernético», donde los actores de amenazas pueden simplemente tomar el código de otros actores de amenazas e integrarlo en su trabajo.

Vía: El Registro (se abre en una pestaña nueva)

Source link-36

PyPl ha sido encontrado alojando claves de AWS y malware una vez más

John — Tue, 10 Jan 2023 22:01:48 +0000

Se encontró que el popular repositorio de paquetes de Python, PyPI, alojaba claves de AWS y malware (se abre en una pestaña nueva)poniendo a innumerables desarrolladores de Python en riesgo de sufrir ataques graves a la cadena de suministro.

Los resultados son cortesía del desarrollador de software Tom Forbes, quien creó una herramienta usando Rust que escaneó todos los paquetes nuevos en PyPI en busca de claves API de AWS.

La herramienta arrojó 57 resultados positivos, incluidos algunos de Amazon, Intel, Stanford, Portland y la Universidad de Louisiana, el gobierno australiano, el departamento de fusión de General Atomics, Terradata, Delta Lake y Top Glove.

Minimizando el daño

«Este informe contiene las claves que se han encontrado, así como un enlace público a las claves y otros metadatos sobre el lanzamiento», dijo Forbes. «Debido a que estas claves están comprometidas con un repositorio público de GitHub, el servicio de escaneo secreto de Github se activa y notifica a AWS que las claves se filtraron».

En consecuencia, AWS notifica al desarrollador de la fuga y lo pone en cuarentena para minimizar los daños. El problema es que una herramienta como esta fue relativamente fácil de construir, y aunque Forbes puede ser benigno en sus intenciones, otros pueden no serlo. Hablando a El registrodijo que diferentes teclas pueden causar diferentes niveles de dolor:

«Depende de los permisos exactos otorgados a la clave en sí», explicó Forbes. «La clave que encontré filtrada por InfoSys [in November] tenía ‘acceso de administrador completo’, lo que significa que puede hacer cualquier cosa, y otras claves que encontré en PyPI eran ‘claves raíz’ que también pueden hacer cualquier cosa. Un atacante que tenga estas claves tendría acceso total a la cuenta de AWS a la que está vinculado».

Agregó que el escaneo automático de claves de GitHub es un paso adelante positivo, pero no suficiente para abordar el problema en su totalidad:

«GitHub también se preocupa mucho por la seguridad de la cadena de suministro, pero se han cavado un agujero: la forma en que buscan secretos implica mucha colaboración con los proveedores que pueden revelar información interna sobre cómo se construyen las claves para GitHub», dijo. «Esto significa que las expresiones regulares que usa GitHub para buscar secretos no se pueden hacer públicas y son confidenciales, lo que también significa que terceros como PyPI no pueden utilizar esta increíble infraestructura sin enviar cada fragmento de código publicado en PyPI a GitHub. «

Si bien culpó a PyPI y dijo que la plataforma podría hacer más para proteger a sus usuarios, también dijo que los desarrolladores deberían asumir cierta responsabilidad por la seguridad de sus soluciones. Además, AWS también debería ser parte de la solución, agregó: «AWS también tiene algo de culpa que compartir aquí: IAM es notoriamente difícil de depurar y corregir, lo que lleva a que se otorguen permisos demasiado amplios en las claves».

Para protegerse contra los ataques a la cadena de suministro a través de PyPI, Forbes dice que las organizaciones deberían reconsiderar sus políticas de seguridad.

Vía: El Registro (se abre en una pestaña nueva)

Source link-36

Hay otro paquete PyPl malicioso: este roba datos de los desarrolladores

John — Wed, 21 Dec 2022 11:40:40 +0000

Se han encontrado delincuentes haciéndose pasar por una conocida empresa de ciberseguridad en un intento de robar datos de los desarrolladores de software, según han descubierto los investigadores.

Investigadores de ReversingLabs descubrieron recientemente un Python malicioso (se abre en una pestaña nueva) paquete en PyPI llamado «SentinelOne». Nombrado en honor a una conocida empresa de seguridad cibernética de los Estados Unidos, el paquete pretende ser un cliente SDK legítimo que permite un fácil acceso a la API de SentinelOne desde un proyecto separado.

Sin embargo, el paquete también contiene archivos «api.py» que contienen el código malicioso y permiten a los actores de amenazas filtrar datos confidenciales de los desarrolladores a una dirección IP de terceros (54.254.189.27).

Perseguir tokens de autenticación y claves API

Los datos robados incluyen historiales de Bash y Zsh, claves SSH, archivos .gitconfig, archivos de hosts, información de configuración de AWS, información de configuración de Kube y otros. Según la publicación, estas carpetas generalmente almacenan tokens de autenticación, secretos y claves API, lo que permitiría a los actores de amenazas un mayor acceso a los servicios en la nube objetivo y los puntos finales del servidor.

La peor parte es que el paquete ofrece la funcionalidad que esperan los desarrolladores. En realidad, este es un paquete secuestrado, lo que significa que los desarrolladores desprevenidos podrían terminar usándolo y convertirse en víctimas por ignorancia. La buena noticia es que ReversingLabs confirmó la intención maliciosa del paquete y, después de informarlo tanto a SentinelOne como a PyPI, lo eliminó del repositorio.

En los días y semanas previos a la eliminación, los actores maliciosos estuvieron bastante activos. El paquete se subió por primera vez a PyPI el 11 de diciembre y se ha actualizado 20 veces en menos de 10 días.

Uno de los problemas que se solucionaron con una actualización fue la incapacidad de extraer datos de los sistemas Linux, encontraron los investigadores.

Es difícil decir si alguien cayó en la estafa, concluyeron los investigadores, ya que no hay evidencia de que el paquete se haya utilizado en un ataque real. Aún así, todas las versiones publicadas se descargaron más de 1.000 veces.

Vía: BleepingComputer (se abre en una pestaña nueva)

Source link-36

Esta imagen aleatoria está difundiendo un paquete PyPl malicioso usando GitHub

John — Fri, 11 Nov 2022 03:37:13 +0000

Investigadores de seguridad cibernética de Check Point Research (CPR) han descubierto un nuevo paquete malicioso en PyPI, el repositorio de código para el lenguaje de programación Python que usa una imagen para entregar un malware troyano, en gran parte usando GitHub.

Los actores de amenazas detrás de esta nueva campaña esperan que mientras buscan en la web proyectos legítimos, los desarrolladores de Python, tarde o temprano, se encontrarán con ‘apicolor’.

El paquete en desarrollo aparentemente benigno en PyPI, una vez instalado, primero instala manualmente los requisitos adicionales y luego descarga una imagen de la web. Los requisitos adicionales procesan la imagen y activan la salida generada por el procesamiento mediante el comando exec.

Ataque de esteganografía

Uno de esos dos requisitos es el código judyb, que es de hecho un módulo de esteganografía, capaz de revelar mensajes ocultos dentro de las imágenes. Eso llevó a los investigadores de vuelta a la imagen que, como resultado, descarga paquetes maliciosos de la web al terminal de la víctima. (se abre en una pestaña nueva).

(Crédito de la imagen: Investigación de Check Point)

“El lugar inmediato para investigar dichos paquetes es GitHub”, explican los investigadores. “Los investigadores buscaron proyectos de código usando estos paquetes, lo que permitió al equipo comprender mejor sus técnicas de infección (si alguien las instaló por error y, si lo hicieron, cómo sucedió). Al usar esta búsqueda, se hizo evidente que apicolor y judib son bastante específicos y tienen poco uso en los proyectos de GitHub.“

Tan pronto como CPR notificó a PyPI de sus hallazgos, este último eliminó el paquete malicioso de su plataforma.

Si bien los investigadores no descubrieron quién era el actor de amenazas detrás de esta campaña, sí dijeron que toda la prueba fue «planeada y pensada cuidadosamente», y afirmó además que las técnicas de ofuscación en PyPI han evolucionado.

“Escaneamos constantemente PyPI en busca de paquetes maliciosos y los informamos de manera responsable a PyPI. Este es único y distinto de casi todos los paquetes maliciosos que hemos encontrado antes”, comentó Ori Abramovsky, jefe de ciencia de datos, SpectralOps, una empresa de Check Point.

“Este paquete difiere en la forma en que camufla su intención y en la forma en que se dirige a los usuarios de PyPI para infectarlos con importaciones maliciosas en GitHub. Nuestros hallazgos indican que los paquetes maliciosos de PyPI y sus técnicas de ofuscación están evolucionando rápidamente. El paquete que hemos compartido aquí refleja un trabajo cuidadoso y meticuloso. No es la copia y el pasado normales que vemos comúnmente, sino lo que parece una campaña real. La creación de los proyectos de GitHub, luego ocultar inteligentemente el código y minimizar los paquetes en PyPI, son todos trabajos sofisticados”.

Source link-36

Más paquetes PyPl pirateados tras un ataque de phishing

John — Sat, 27 Aug 2022 01:43:58 +0000

Los estafadores han engañado a los mantenedores de paquetes PyPI Python para que den sus credenciales de inicio de sesión, luego usaron las contraseñas para iniciar sesión y contaminar los paquetes con malware, afirman los expertos.

La noticia fue confirmada por el miembro de la junta del proyecto Django, Adam Johnson, luego de ser atacado él mismo, con «cientos» de paquetes afectados.

Según el informe, un actor de amenazas desconocido envió correos electrónicos de phishing a los mantenedores de paquetes, alegando que necesitaban «validarse» a sí mismos, de lo contrario, sus paquetes serían eliminados de la plataforma. Johnson dijo que hacer clic en el enlace del correo electrónico envió a los objetivos a un sitio de phishing «bastante convincente».

Cientos de paquetes contaminados

Algunos mantenedores cayeron en la trampa, dice el informe, y dieron sus credenciales de inicio de sesión a los estafadores. Usaron esa información para secuestrar “varios cientos” de paquetes, que luego fueron eliminados de la plataforma, según se confirmó. Entre las cosas maliciosas que hace el código está filtrar el punto final (se abre en una pestaña nueva)el nombre de la computadora al dominio linkedopports[.]com y descargando un troyano.

«Estamos revisando activamente los informes de nuevas versiones maliciosas y nos aseguramos de que se eliminen y se restablezcan las cuentas del mantenedor», dice PyPI. «También estamos trabajando para proporcionar características de seguridad como 2FA más frecuentes en todos los proyectos en PyPI».

PyPI, el repositorio de código Python más grande del mundo, con más de 600 000 usuarios activos, ha estado bajo una lluvia de ataques últimamente. Hace menos de un mes, los investigadores encontraron casi una docena de paquetes maliciosos, todos «typosquats». Typosquatting es una técnica de distribución de malware en la que el paquete malicioso tiene un nombre casi idéntico al auténtico, con solo un pequeño «error tipográfico», que podría engañar a los desarrolladores para que descarguen y usen ese paquete, en lugar del auténtico.

La semana pasada se descubrieron otra docena de paquetes maliciosos cuyo objetivo era robar (se abre en una pestaña nueva) datos confidenciales almacenados en los navegadores, instalar puertas traseras en el cliente Discord, robar tokens de autenticación y datos de pago.

Vía: BleepingComputer (se abre en una pestaña nueva)

Source link-36