Distribuyen paquetes malware a través de PyPI

Distribuyen paquetes malware a través de PyPI

Adrián Crespo

Cualquier oportunidad es buena para distribuir malware, incluso si nos dirigimos al mundo de desarrolladores. En esta ocasión, se han fijado en el índice de paquetes de Python (también conocido como PyPi). Expertos en seguridad han detectado que al menos 10 librerías falsas se estaban distribuyendo. Indican que la mayoría utilizan nombres similares a librerías legítimas, pero con pequeños cambios que en muchos casos los usuarios no son capaces de apreciar.

Es decir, se aprovechan que los usuarios en muchas ocasiones escriben mal el nombre de las librerías para crear copias falsas que poseen código malware. Por ejemplo, se está distribuyendo urlib, pero la legítima es urllib. Siguiendo esta regla de creación de librerías, se han llegado a crear hasta 10 falsas, de acuerdo a lo que han visto los expertos en seguridad.

Esto es una prueba más de hasta dónde puede llegar al astucia de los ciberdelincuentes. Está claro que no se limitan solo a los usuarios con poco conocimientos. Este es un claro ejemplo cómo buscan infectar a usuarios desarrolladores de contenidos software.

El repositorio que se ha visto afectado es uno de los más importantes. Sin embargo, cuenta con un claro inconveniente de cara a la seguridad de los usuarios. A lo que nos referimos, es que los paquetes que se publican no pasan por ningún tipo de verificación a nivel de seguridad. Lo que queremos decir, es que nada evita que cualquiera pueda subir código malware.

Expertos en seguridad indican que la funcionalidad es idéntica a la librería original, por lo tanto, el desarrollador no apreciará ningún tipo de diferencia en lo que se refiere a funcionamiento.

Las librerías malware de PyPi poseen un script diferente de instalación

Lo que sí cambia es el proceso de instalación, instalando el script que podemos considerar malware. A pesar de ser un código malicioso, hay que decir que por el momento no supone un drama para la seguridad de los dispositivos afectados. Por el momento, los expertos en seguridad indican que solo se limita a recopilar información de los equipos que se han visto infectados.

La información recopilada se envía al servidor 121.42.217.44:8080 ubicado de acuerdo a los expertos en seguridad en China.

Este es el listado de paquetes que se han eliminado y que contenían el script de instalación modificado:

  • acqusition
  • apidev-coop
  • bzip
  • crypt
  • django-server
  • pwd
  • setup-tools
  • telnet
  • urlib3
  • urllib

Los responsables del repositorio han advertido a los usuarios sobre esto, instando a la revisión del código de las aplicaciones y en optar por la desinstalación e instalación de la legítima.

Sobre la implantación de un sistema de verificación no se ha realizado ninguna declaración, aunque debería ser un proyecto a medio plazo, sobre todo porque es algo que se puede repetir y ser algo frecuente.

No es el primer problema de estas características que se ha detectado

Tal y como era de imaginar, no ha sido la única ocasión en la que nos hemos encontrado con una situación similar. La otra vez que nos encontramos una situación similar tenía como protagonista el repositorio de Node.js. Los ciberdelincuentes tuvieron acceso a la gestión del servidor y publicaron versiones afectadas por malware.