Programadores: busquen a estos ladrones de información en el índice de paquetes de Python

Recientemente se descubrieron 3 paquetes maliciosos que contenían ladrones de información y después se suprimieron del repositorio de PyPI.

Los estudiosos de Fortinet hallaron 3 paquetes cargados entre el siete y el doce de enero por un usuario llamado "Lollip0p". Estos 3 se llaman "colorslib", "httpslib" y "libhttps", y si los ha utilizado ya antes, asegúrese de quitarlos de inmediato.

Por lo general, los ciberdelincuentes que procuran comprometer los puntos finales de los desarrolladores de Python a través de PyPI procurarán cometer fallos tipográficos, dando a sus paquetes maliciosos nombres prácticamente idénticos a los que pertenecen a proyectos lícitos. De esta forma, los desarrolladores que son irresponsables o que tienen prisa pueden, sin saberlo, emplear el malicioso en sitio del limpio.

Robo de datos del navegador

Esta campaña, no obstante, es diferente, ya que estas 3 tienen nombres únicos. Para producir confianza, el atacante escribió descripciones completas de los paquetes. Si bien el total de descargas para estos 3 dispositivos apenas superó las quinientos, aún podría resultar asolador si es parte de una cadena de suministro más grande, afirma la publicación.

En los 3 casos, los atacantes distribuyen un fichero llamado "setup.py" que, después de ejecutar un PowerShell, procura descargar el ejecutable "Oxyz.exe" de Internet. Conforme los estudiosos, este ejecutable es malicioso y hurta información del navegador. No sabemos precisamente qué tipo de información busca hurtar el malware (se abre en una nueva pestañita), mas los ladrones de información por norma general procuran claves de acceso guardadas, datos de tarjetas de crédito, carteras, criptomonedas y otra información valiosa.

El informe asimismo descubrió que la tasa de detección de estos ejecutables es parcialmente baja (hasta un trece con cinco %), lo que quiere decir que los atacantes pueden desviar datos exitosamente aun desde puntos finales protegidos por soluciones antivirus.

Aunque los paquetes maliciosos ya se han eliminado de PyPI, nada impide que los atacantes sencillamente los descarguen con un nombre diferente y desde una cuenta diferente. Dicho esto, la mejor forma de resguardarse contra este género de ataque a la cadena de suministro es tener singular cuidado al descargar bloques de creación de código de los repositorios.

Vía: BleepingComputer (se abre en una nueva pestañita)