20 may. 2021

PyPI invadido por paquetes falsos y spam de películas

BleepingComputer informa, el repositorio oficial de paquetes de software de Python, PyPI, se está inundando de paquetes de spam. Los paquetes llevan el nombre de diferentes películas en un estilo que se asocia comúnmente con torrents y sitios "warez" que alojan contenido pirateado.

Cada uno de estos paquetes es publicado por una cuenta con seudónima única, lo que dificulta que PyPI elimine los paquetes y las cuentas de correo todos a la vez.

El descubrimiento salió a la luz cuando Adam Boesch, ingeniero de software senior de Sonatype, estaba auditando un conjunto de datos y notó un componente PyPI de sonido divertido que lleva el nombre de una popular comedia televisiva. "Estaba mirando el conjunto de datos y noté 'wandavision', que es un poco extraño para el nombre de un paquete".

Aunque algunos de estos paquetes tienen algunas semanas de antigüedad, se observa que los spammers continúan agregando paquetes más nuevos a PyPI. La página web de estos paquetes falsos contiene palabras clave de spam y enlaces a sitios de transmisión de películas, aunque de legitimidad y legalidad cuestionables, tales como: https://besflix[.]com/movie/XXXXX/ profile.html

En febrero de este año, PyPI se había visto inundado de falsos generadores de claves "Discord", "Google" y "Roblox" en un ataque masivo de spam, según informó ZDNet. En ese momento, Ewa Jodlowska, directora ejecutiva de la Python Software Foundation había dicho que los administradores de PyPI estaban trabajando para cortar el ataque de spam, sin embargo, por la naturaleza de pypi.org, cualquiera podía publicar en el repositorio, y tales ocurrencias eran común.

Además de contener palabras clave de spam y enlaces a sitios de transmisión de video, estos paquetes contienen archivos con código funcional e información del autor extraída de paquetes legítimos de PyPI. Por ejemplo, el paquete de spam "watch-army-of-the-dead-2021-full-online-movie-free-hd-quality", contenía información del autor y algo de código del paquete PyPI legítimo, "jedi-language-server".

Los actores maliciosos han combinado código de paquetes legítimos con paquetes falsos o maliciosos para enmascarar sus pasos y hacer que la detección de estos paquetes sea un poco más desafiante.

Siempre es una buena idea investigar un paquete antes de usarlo. Si algo parece estar mal, hay una razón para eso. En los últimos meses, los ataques a ecosistemas de código abierto como npm, RubyGems y PyPI se han intensificado.

Se ha sorprendido a los actores de amenazas inundando los repositorios de software con malware, copias maliciosas de confusión de dependencias o simplemente paquetes de vigilancia para difundir su mensaje.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!