Surgen más paquetes PyPI maliciosos dirigidos a Discord y Roblox



Apenas una semana después de que se encontraran 10 paquetes de computer software malicioso anidados en el repositorio Python Package Index (PyPI), han salido a la luz varios más, descubiertos por diferentes empresas. Se está convirtiendo en un ejercicio de golpear un topo, eliminar el código incorrecto solo para descubrir que hay más en su lugar.

En la divulgación de la semana pasada, los investigadores de Look at Place encontraron paquetes con troyanos que imitaban componentes legítimos populares y que contenían goteros para malware que roba información. Eso llevó a los analistas de Kaspersky a buscar más en el repositorio de código abierto, lo que condujo al descubrimiento de otras dos ofertas maliciosas, denominadas «pyrequests» y «ultrarequests», que pretendían ser uno de los paquetes más populares en PyPI (que simplemente se llama «peticiones“).

«El atacante usó una descripción del paquete legítimo de ‘solicitudes’ para engañar a las víctimas para que instalaran uno malicioso», según Kaspersky. análisis del martes. «La descripción contiene estadísticas falsas, como si el paquete se instalara 230 millones de veces en un mes y tuviera más de 48 000 estrellas en GitHub. La descripción del proyecto también hace referencia a las páginas world-wide-web del paquete de solicitudes original, así como al correo electrónico del autor. Todo las menciones del nombre del paquete legítimo han sido reemplazadas por el nombre del paquete malicioso».

Si se instala, el resultado es una infección W4SP Stealer, a través de la cual los atacantes pueden robar tokens de Discord, cookies guardadas y contraseñas de navegadores en subprocesos separados.

Mientras tanto, los investigadores de Synk el martes hallazgos publicados alrededor de una docena de paquetes PyPI maliciosos destinados a robar las credenciales y la información de pago de los usuarios de Discord y Roblox. Según Kyle Suero, investigador principal de Snyk en el informe, el malware también intentará robar datos de Google Chrome o sustraer contraseñas y marcadores de máquinas con Windows para pasar por todas las cuentas.

Todos los paquetes infractores se han eliminado de PyPI sin embargo, no está claro cuántas veces se descargaron antes de eso.

Los ataques a los repositorios de código continúan aumentando como una bola de nieve. Según ReversingLabs, los ataques a npm y PyPI aumentaron colectivamente de 259 en 2018 a 1010 en 2021, un aumento del 290 %.

«Mientras sigamos ignorando el núcleo del problema, que es cómo confiar en el código, no estamos manejando la seguridad de la cadena de suministro de application», dijo Tomislav Peričin, cofundador y arquitecto jefe de software package de ReversingLabs, dijo en un informe reciente.



Enlace a la noticia authentic