Los números de tarjeta de los desarrolladores de Python, amenazados por paquetes de malware subidos al repositorio PyPI

Cada vez más, los desarrolladores recurren a repositorios y gestores de paquetes para gestionar las dependencias de muchos de sus proyectos de programación. Así, los usuarios de NodeJS cuentan con NPM (siglas de ‘Node Package Manager’), y los de Python cuentan con varios repositorios, como Conda o PyPI (Python Package Index).

Por desgracia, además de facilitar enormemente la vida a muchos desarrolladores, esta clase de plataformas ofrecen también destacadas puertas de entrada al malware.

Por desgracia, además de facilitar enormemente la vida a muchos desarrolladores, esta clase de plataformas ofrecen también destacadas puertas de entrada al malware.

Ocho bibliotecas retiradas de PyPI

En este caso, de hecho, han sido los administradores de PyPI quienes han tenido que eliminar, a lo largo de esta semana, hasta ocho bibliotecas tras serles notificado por el equipo de seguridad de JFrog que contenían código malicioso.

Dos de los paquetes (pytagora y pytagora2, subidos por el usuario ‘leonora123’) permitían ataques RCE (de ejecución de código remoto) conectando el equipo de la víctima al puerto TCP 9009 y facilitando la ejecución de comandos maliciosos en el mismo.

Otros seis paquetes (noblesse, genesisbot, are, suffer, noblesse2 y noblessev2, desarrollados por los usuarios ‘xin1111’ y ‘suffer’) actuaban como ladrones de datos: una vez instalados, recopilaban datos del equipo buscando desde tokens de Discord a información general del sistema (dirección IP, nombre del equipo y el usuario, clave de licencia, versión de Windows, etc)…

…pero también han estado recopilando información sobre nuestras tarjetas de crédito, extraída de los datos guardados para ‘autcompletar’ en los navegadores que tengamos instalados.

La mayoría de los paquetes de este segundo grupo se ‘venden’ ante el resto de usuarios como «optimizadores», aunque no queda muy claro de qué: en el caso de ‘Noblesse’ (ver imagen inferior), los desarrolladores de este paquete afirman que es tan capaz de optimizar nuestro código Python como de optimizar nuestro PC para ejecutar Python.

Artículo publicado en Genbeta

Compartir en:
X