University Child sube secuencias de comandos de ransomware al repositorio PyPI como proyecto ‘divertido’



Un pirata informático aparentemente en edad escolar con sede en Verona, Italia, se ha convertido en el último en demostrar por qué los desarrolladores deben prestar mucha atención a lo que descargan de los repositorios de códigos públicos en estos días.

El joven hacker cargó recientemente varios paquetes maliciosos de Python que contenían secuencias de comandos de ransomware en el Índice de paquetes de Python (PyPI), supuestamente como un experimento.

Los paquetes se llamaron «requesys», «requesrs» y «requesr», que son todos errores tipográficos comunes de «solicitudes», una biblioteca HTTP legítima y ampliamente utilizada para Python.

Según los investigadores de Sonatype que detectaron el código malicioso en PyPI, uno de los paquetes (requesys) se descargó unas 258 veces, presumiblemente por desarrolladores que cometieron errores tipográficos al intentar descargar el paquete actual de «solicitudes». El paquete tenía scripts para atravesar carpetas como Documentos, Descargas e Imágenes en sistemas Windows y encriptarlos.

Una versión del paquete requesys contenía el código de cifrado y descifrado en Python de texto sin formato. Pero una versión posterior contenía un ejecutable ofuscado en Foundation64 que dificultó un poco el análisis, según Sonatype.

¿Una ausencia de malicia?

Los desarrolladores que terminaron con su sistema encriptado recibieron un mensaje emergente que les indicaba que se comunicaran con el autor del paquete, «b8ff» (también conocido como «OHR» o Only Hope Continues to be), en su canal Discord, para obtener la clave de descifrado. Las víctimas pudieron obtener la clave de descifrado sin tener que pagar por ella, dice Sonatype.

«Y eso hace que este caso más de un área gris en lugar de una actividad maliciosa», concluye Sonatype. La información en el canal Discord del hacker muestra que al menos 15 víctimas habían instalado y ejecutado el paquete.

Sonatype descubrió el malware el 28 de julio e inmediatamente lo informó a los administradores de PyPI, dice la compañía. Desde entonces, se eliminaron dos de los paquetes y el pirata informático cambió el nombre del paquete requesys, por lo que los desarrolladores ya no lo confunden con un paquete legítimo.

«Hay dos conclusiones aquí», dice Ankita Lamba, investigadora sénior de seguridad de Sonatype. «En primer lugar, tenga cuidado al escribir los nombres de las bibliotecas populares, ya que el error tipográfico es uno de los métodos de ataque más comunes para el malware», dice.

En segundo lugar, y de manera más amplia, los desarrolladores siempre deben tener cuidado con lo que descargan y los paquetes que incorporan en sus compilaciones de computer software. “El código abierto es tanto un flamable crítico para la innovación electronic como un objetivo propicio para los ataques a la cadena de suministro de software”, dice Lamba.

Número creciente de código malicioso en repositorios

El incidente se encuentra entre un número creciente de casos recientes en los que los actores de amenazas han plantado código malicioso en repositorios de software package ampliamente utilizados, con el objetivo de que los desarrolladores lo descarguen e instalen en sus entornos.

Algunos de ellos, como el último incidente, han involucrado paquetes con errores tipográficos o malware con nombres que suenan similares a application legítimo en repositorios de program públicos. En mayo, por ejemplo, Sonatype descubrió que unos 300 desarrolladores habían descargado un paquete malicioso para distribuir Cobalt Strike llamado «Pymafka» del registro de PyPI, pensando que era «PyKafka», un cliente de Kafka legítimo y ampliamente descargado.

También en mayo, Sonatype descubrió otro paquete malicioso en PyPI llamado «karaspace», utilizado para robar información del sistema, que tenía el mismo nombre que un proyecto legítimo de Kafka en GitHub.

En julio, los investigadores de Kaspersky descubrieron cuatro paquetes de robo de información en el repositorio de Node Offer Manager (npm). El mismo mes, ReversingLabs informó que encontró unas dos docenas de módulos npm muy ofuscados para robar datos que se habían descargado más de 27,000 veces. El proveedor estimó que los paquetes maliciosos probablemente se instalaron en cientos, y probablemente incluso en miles, de aplicaciones móviles y sitios website.

Los investigadores de seguridad han señalado que la tendencia aumenta la necesidad de que las organizaciones presten más atención a sus cadenas de suministro de software, especialmente cuando se trata de usar program de código abierto de repositorios públicos como PyPI, npm y Maven Central.

Un proyecto de investigación «divertido»

Tras el último descubrimiento, los investigadores de Sonatype se pusieron en contacto con el autor del código malicioso y descubrieron que se explain a sí mismo como un hacker escolar aparentemente intrigado por los exploits y la facilidad para desarrollarlos.

Lamba dice que b8ff le dijo a Sonatype que el script de ransomware period completamente de código abierto y parte de un proyecto que había desarrollado por diversión.

«Como son un ‘desarrollador de aprendizaje’ que va a la escuela, se suponía que este period un proyecto de investigación divertido sobre las vulnerabilidades de ransomware que fácilmente podría haberse extraviado mucho más», dice Lamba. «El autor continuó diciendo que estaban sorprendidos de ver lo fácil que period crear este exploit y lo interesante que era».



Enlace a la noticia primary