Los paquetes falsificados descargados aproximadamente 5000 veces del repositorio oficial de Python contenían un código secreto que instalaba el software de criptominería en las máquinas infectadas, descubrió un investigador de seguridad.
Los paquetes maliciosos, que estaban disponibles en el repositorio de PyPI, en muchos casos usaban nombres que imitaban los de los paquetes legítimos y a menudo ampliamente utilizados que ya estaban disponibles allí, informó Ax Sharma, investigador de la firma de seguridad Sonatype. Los llamados ataques de typosquatting tienen éxito cuando los objetivos accidentalmente escriben mal un nombre, como «mplatlib» o «maratlib» en lugar del paquete legítimo y popular matplotlib.
Sharma dijo que encontró seis paquetes que instalaban un software de criptominería que usaría los recursos de las computadoras infectadas para extraer criptomonedas y depositarlas en la billetera del atacante. Los seis fueron publicados por alguien que usaba el nombre de usuario nedog123 de PyPI, en algunos casos ya en abril. Los paquetes y números de descarga son:
- maratlib: 2.371
- maratlib1: 379
- matplatlib-más: 913
- mllearnlib: 305
- mplatlib: 318
- biblioteca de aprendizaje: 626
El código malicioso está contenido en el archivo setup.py de cada uno de estos paquetes. Hace que las computadoras infectadas usen ubqminer o T-Rex cryptominer para extraer monedas digitales y depositarlas en la siguiente dirección: 0x510aec7f266557b7de753231820571b13eb31b57.
PyPI ha sido un repositorio del que se ha abusado con frecuencia desde 2023, cuando un estudiante universitario engañó a 17 000 codificadores para que ejecutaran el script incompleto que publicó allí.
No es que se abuse de PyPI más que de otros repositorios: el año pasado, los paquetes descargados miles de veces de RubyGems instalaron malware que intentó interceptar los pagos de bitcoin. Dos años antes de eso, alguien hizo una puerta trasera a una biblioteca de códigos de 2 millones de usuarios alojada en NPM. Sonatype ha rastreado más de 12 000 paquetes NPM maliciosos desde 2023.
Es tentador pensar que una buena cantidad de las descargas contadas en estos eventos se realizaron automáticamente y nunca dieron como resultado que las computadoras se infectaran, pero el experimento del estudiante universitario vinculado anteriormente argumenta lo contrario. Su módulo Python falsificado se ejecutó más de 45 000 veces en más de 17 000 dominios separados, algunos pertenecientes a organizaciones gubernamentales y militares de EE. UU. Este tipo de promiscuidad nunca fue una buena idea, pero debería estar estrictamente prohibido en el futuro.
