NEW!Increibles ofertas a nuestros lectores en consultoria y auditoría! Read More

NewsSecurity

Paquetes maliciosos de PyPI secuestran dispositivos de desarrollo para minar criptomonedas

2 Mins read

Se detectaron varios paquetes maliciosos en el repositorio de PyPI para proyectos de Python que convirtieron las estaciones de trabajo de los desarrolladores en máquinas de criptominería.

Todos los paquetes maliciosos fueron publicados por la misma cuenta y engañaron a los desarrolladores para que los descargaran miles de veces usando nombres mal escritos de proyectos legítimos de Python.

Bash script hace un pull al minero

Un total de seis paquetes que contenían código malicioso se infiltraron en el índice de paquetes de Python (PyPI) en abril:

  • maratlib
  • maratlib1
  • matplatlib-plus
  • mllearnlib
  • mplatlib
  • learninglib

Todos provienen del usuario “nedog123” y los nombres de la mayoría de ellos son versiones mal escritas del software de trazado legítimo matplotlib.

Ax Sharma, investigador de seguridad de la empresa de automatización de devops Sonatype, analizó el paquete “maratlib” en una publicación de blog y señaló que los otros componentes maliciosos lo usaban como dependencia.

“Para cada uno de estos paquetes, el código malicioso está contenido en el archivo setup.py, que es un script de compilación que se ejecuta durante la instalación de un paquete”, escribe el investigador.

Al analizar el paquete, Sharma descubrió que intentó descargar un script Bash (aza2.sh) desde un repositorio de GitHub que ya no está disponible.

Sharma rastreó los alias del autor en GitHub utilizando inteligencia de código abierto y descubrió que la función del script era ejecutar un criptominer llamado “Ubqminer” en la máquina comprometida.

El investigador también señala que el autor del malware reemplazó la dirección predeterminada de la billetera Kryptex con la suya propia para extraer la criptomoneda Ubiq (UBQ).

En otra variante, el script incluía un programa de criptominería diferente que usa la potencia de la GPU, el T-Rex de código abierto.

Los atacantes apuntan constantemente a repositorios de código fuente abierto como PyPI [1, 2, 3], el NPM para NodeJS [1, 2, 3] o RubyGems. Incluso si la detección se produce cuando el recuento de descargas es bajo, como suele suceder, existe un riesgo significativo ya que los desarrolladores pueden integrar el código malicioso en proyectos de uso generalizado.

En este caso, Sonatype capturó los seis paquetes maliciosos después de escanear el repositorio de PyPI con su sistema automatizado de detección de malware, Release Integrity. En el momento de la detección, los paquetes habían acumulado casi 5.000 descargas desde abril, y “maratlib” registró el mayor número de descargas, 2.371.

Fuente: Bleeping Computer

Related posts
NewsSecurity

Microsoft lanza inicio de sesión passwordless para todas las cuentas de Microsoft

2 Mins read
Microsoft está implementando soporte de inicio de sesión sin contraseña durante las próximas semanas, lo que permitirá a los clientes iniciar sesión…
NewsSecurity

Microsoft lanza un parche para un zero day de Windows

2 Mins read
Un día después de que Apple y Google implementaron actualizaciones de seguridad urgentes, Microsoft impulsó correcciones de software como parte de su…
NewsSecurity

WhatsApp permitirá cifrar copias de seguridad en la nube

3 Mins read
WhatsApp implementará soporte para copias de seguridad de chat encriptadas de extremo a extremo en la nube para usuarios de Android e…

Leave a Reply

Your email address will not be published. Required fields are marked *