btc

BTCClicks.com Banner

$$$

$$$
$$$

domingo, 17 de septiembre de 2017

Descubren malware en el repositorio PyPI de Python

Národný Bezpečnostný Úrad (NBU), es el nombre de la Autoridad de Seguridad Nacional de Eslovaquia. Un departamento que tiene como misión la protección de la información clasificada, los servicios de cifrado y de firma electrónica. También la detección de ciberamenazas, como la que acaban de encontrar en PyPI (Python Package Indice), un importante repositorio de software comunitario para el lenguaje de programación Python.

Alrededor de una decena de paquetes maliciosos, se han camuflado dentro de un directorio donde los creadores de software pueden registrar sus proyectos (117 173 hasta la fecha), para que otros desarrolladores y usuarios descarguen las aplicaciones y módulos correspondientes.

Software que en Linux podemos instalar mediante el gestor de paquetes pip, independientemente de la distro que estemos usando. Facilidad de uso y disponibilidad de paquetes mas allá de los repositorios oficiales, han contribuido a la popularidad de pip (y por tanto PyPI) en los últimos años .

Puedo que haya sido eso último, lo que ha motivado la creación de un conjunto de módulos ficticios, que imitan en su nombre a los originales y que fueron subidos al repositorio de Python, a principios del pasado mes de junio:

    acqusition suplanta a acquisition.
    apidev-coop suplanta a apidev-coop_cms.
    bzip suplanta a bz2file.
    crypt suplanta a crypto.
    django-server suplanta a django-server-guardian-api.
    pwd suplanta a pwdhash.
    setup-tools suplanta a setuptools.
    telnet suplanta a telnetsrvlib.
    urlib3 suplanta a urllib3.
    urllib suplanta a urllib3.

Las buenas noticias es que no parecen especialmente dañinos y por lo que se ha visto hasta ahora, se limitan a enviar datos estadísticos a un servidor (nombre y versión del paquete, nombre del equipo y del usuario que autorizó la instalación).

El software estaba diseñado para Python 2.x. Fue su intento de uso en Python 3.x y el análisis de los errores que generaba, lo que ayudó a descubrir su presencia.

Son paquetes que ya han sido retirados de PyPI, pero obviamente no de aquellos equipos que ya los hayan instalado.

$$$

$$$
$$$