Detectan nuevos paquetes maliciosos ocultos en Python

Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies Ltd. proveedor especializado en ciberseguridad a nivel mundial, ha logrado detectar la presencia de código malicioso en varios paquetes en PyPI (Python Package Index), ayudando a la identificación y eliminación de estos.

Desde hace años, PyPI se ha convertido en una herramienta esencial para la comunidad de Python, permitiendo a los desarrolladores descubrir y usar fácilmente paquetes de terceros, fomentando la colaboración y el intercambio entre programadores de todo el mundo albergando miles de paquetes de código abierto. Por desgracia, dada su naturaleza colaborativa en la que cualquiera puede subir un nuevo paquete, los ciberdelincuentes han comenzado a explotar esta plataforma para el compartido de malware.

Los paquetes maliciosos detectados muestran cómo el phishing se ha convertido en una de las herramientas más utilizadas por los atacantes. Ocultos entre las diferentes versiones de los paquetes legítimos, contienen código malicioso que se descarga y ejecuta como parte de su proceso de instalación del programa original al que emulan.

Ver más: Crece el Open Banking: ¿Cuáles son los peligros en ciberseguridad?

Uno de los ataques detectados fue ‘aiotoolsbox’, que, si bien puede parecer un paquete benigno a primera vista, resultó ser una réplica exacta (aunque adulterada) del legítimo ‘aiotools’. Es importante tener en cuenta que mientras que la tipología (el uso de nombres que se asemejan a los originales para engañar a los usuarios) es una metodología de ataque bastante común, la copia idéntica del código de estos es una práctica menos común que parece estar en creciente auge. Un pequeño esfuerzo extra que presenta el cambio a unas campañas de phishing más sofisticadas y difíciles de detectar.

El paquete benigno aiotools junto a la maliciosa aiotoolsbox

Buscando en los metadatos de los paquetes, los investigadores de Check Point Software han detectado que comparten el mismo autor, aprovechándose del hecho de que son de texto libre. De esta manera el atacante podría imitar fácilmente el campo de autor.

Aunque mirando en más detalle, todavía se puede identificar un mantenedor diferente. Según los detalles de aiotoolsbox, son contribuyentes de PyPI desde 2019. Aunque dado el hecho de que los únicos dos paquetes que tienen fueron publicados recientemente, es justo suponer que se trata de una cuenta vulnerada recientemente. Analizando el código de configuración de aiotoolsbox, se detecta un fragmento extraño que, como parte del proceso de instalación, descarga, extrae y ejecuta un zip, para luego eliminar su contenido y rastro.

El primer punto interesante de esta acción es el hecho de que el zip se está descargando de un servidor llamado ‘files.pythonhosted.org’, que aparentemente legítimo, se trata de una segunda capa de phishing que intenta ocultarse como el sitio oficial de alojamiento de paquetes PyPI. Por otra parte, además de la setup.py mencionada, el resto de los archivos presentes son iguales a los pertenecientes al original de aiotools, haciendo que el usuario obtenga todas las funcionalidades básicas que estaba buscando, ocultando así que ha instalado un paquete malicioso.

Con el aumento de la frecuencia de los ataques a la cadena de suministro, es esencial verificar el software que se utiliza, y especialmente aquellos desarrollados por terceros” explica Eusebio Nieva, director técnico en Check Point Software para España y Portugal. “Para combatir y prevenir estos ataques que pueden conducir a riesgos en la cadena de suministro, continuamos utilizando CloudGuard Spectral para monitorizar periódicamente estos repositorios. Nuestra misión es construir un proceso de desarrollo seguro”.