BIBLIOTECAS QUE ROBAN DATOS EN REPOSITORIOS DE PYPI

En lo que es otra instancia de paquetes maliciosos que ingresan sigilosamente a los repositorios de códigos públicos, se eliminaron 10 módulos del índice de paquetes de Python (PyPI) por su capacidad para recopilar datos críticos, como contraseñas y tokens de API.

Los paquetes «instalan ladrones de información que permiten a los atacantes robar los datos privados y las credenciales personales del desarrollador», dijo la empresa de ciberseguridad israelí Check Point en un informe.

A continuación, se incluye un breve resumen de los paquetes ofensivos:

Ascii2text, que descarga un script dañino que recopila contraseñas almacenadas en navegadores web como Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser.

Pyg-utils, Pymocks y PyProto2, que están diseñados para robar las credenciales de AWS de los usuarios.

Test-async y Zlibsrc, que descargan y ejecutan código malicioso durante la instalación.

Free-net-vpn, Free-net-vpn2 y WINRPCexploit, que roban las credenciales de usuario y las variables de entorno, y

Browserdiv, que son capaces de recopilar credenciales y otra información guardada en la carpeta de almacenamiento local del navegador web.

La lista de este tipo de ataques crece rápidamente con casos recientes en los que los actores de amenazas han publicado software no autorizado en repositorios de software ampliamente utilizados, como PyPI y Node Package Manager (NPM), con el objetivo de interrumpir la cadena de suministro de software.

Los paquetes NPM maliciosos roban tokens de Discord y datos de tarjetas bancarias

En todo caso, el riesgo elevado que plantean tales incidentes aumenta la necesidad de revisar y ejercer la diligencia debida antes de descargar software de código abierto y de terceros de repositorios públicos.

Apenas el mes pasado, Kaspersky reveló cuatro bibliotecas, a saber, small-sm, pern-valids, lifeculer y proc-title, en el registro del paquete NPM que contenía código malicioso de Python y JavaScript altamente ofuscado diseñado para robar tokens de Discord e información de tarjetas de crédito vinculadas.

La campaña, denominada LofyLife, demuestra cómo dichos servicios han demostrado ser un vector de ataque lucrativo para que los adversarios lleguen a un número significativo de usuarios intermedios disfrazando el malware como bibliotecas aparentemente útiles.

«Los ataques a la cadena de suministro están diseñados para explotar las relaciones de confianza entre una organización y partes externas», dijeron los investigadores. «Estas relaciones podrían incluir asociaciones, relaciones con proveedores o el uso de software de terceros».

«Los actores de amenazas cibernéticas comprometerán a una organización y luego ascenderán en la cadena de suministro, aprovechando estas relaciones confiables para obtener acceso a los entornos de otras organizaciones».

El uso indebido cada vez mayor de los repositorios de software de código abierto para distribuir malware también ha llevado a GitHub a abrir una nueva solicitud de comentarios (RFC) para un sistema de suscripción que permite a los mantenedores de paquetes firmar y verificar paquetes publicados en NPM en colaboración con Sigstore.