Cuando un repositorio de GitHub que no se ha tocado durante casi una década recibe repentinamente una «actualización», los usuarios deben tener cuidado, ya que podría ser simplemente una adquisición hostil con la intención de distribuir virus (se abre en una nueva pestaña).

Esto es exactamente lo que sucedió con el módulo PyPI «ctx», que aparentemente tiene millones de descargas. A principios de este mes, luego de un ataque a la cadena de suministro de software, alguien reemplazó el código seguro «ctx» con una versión actualizada que roba las variables del entorno del desarrollador y recopila secretos como claves y credenciales de Amazon AWS.

Estos luego se envían a un punto final de Heroku (se abre en una nueva pestaña) en https://anti-theft-web.herokuapp[.]com/hackeado/

ver la oferta

toma de repo

El ataque, detectado por primera vez por BleepingComputer, resultó en unas 20.000 descargas.

Además de «ctx», las versiones de «phpass» que se lanzaron en PHP Package Repository/Composer Packagist también se han «actualizado» de manera similar. Este también tiene millones de descargas.

CTX es un módulo de Python que se actualizó por última vez en 2014. Luego, ocho años después, el 15 de mayo, el módulo se actualizó con un código malicioso, como lo detectaron los usuarios en Reddit y luego lo confirmaron los piratas informáticos éticos. PHPass, por otro lado, es un marco de hashing de contraseñas de código abierto, lanzado en 2005 y descargado más de dos millones de veces hasta la fecha.

PyPI eliminó las compilaciones maliciosas horas después de que se cargaron en el repositorio, pero se dijo que el daño ya estaba hecho. El daño causado a través de PHPass fue mucho más limitado, agregaron los investigadores.

Los investigadores dicen que ambos ataques fueron llevados a cabo por la misma persona, cuya identidad es «obvia», pero se abstienen de dar nombres hasta que salgan a la luz más detalles.

Los investigadores se refieren a este tipo de ataques como «repo jacking», y estos no son sus primeros ejemplos. A principios de este año, las populares bibliotecas npm ua-parser-js, coa y rc fueron secuestradas para servir a los mineros de criptomonedas y ladrones de información a sus víctimas.

Vía: BleepingComputer (se abre en una nueva pestaña)

Share This