Los actores maliciosos han publicado más de 451 paquetes únicos de Python en el repositorio oficial del índice de paquetes de Python (PyPI) en un intento de infectar los sistemas de los desarrolladores con malware clipper.
La empresa de seguridad de la cadena de suministro de software Phylum, que vio las bibliotecasdijo que la actividad en curso es un seguimiento de una campaña que se reveló inicialmente en noviembre de 2022.
El vector inicial implica el uso de typosquatting para imitar paquetes populares como beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana y tensorflow, entre otros.
“Después de la instalación, un archivo JavaScript malicioso se coloca en el sistema y se ejecuta en el fondo de cualquier sesión de navegación web”, Phylum dicho en un informe publicado el año pasado. “Cuando un desarrollador copia una dirección de criptomoneda, la dirección se reemplaza en el portapapeles con la dirección del atacante”.
Esto se logra mediante la creación de una extensión de navegador web Chromium en la carpeta Windows AppData y escribiendo en ella el Javascript falso y un archivo manifest.json que solicita los permisos de los usuarios para acceder y modificar el portapapeles.
Los navegadores web objetivo incluyen Google Chrome, Microsoft Edge, Brave y Opera, y el malware modifica los accesos directos del navegador para cargar el complemento automáticamente al iniciarse usando el interruptor de línea de comando “–load-extension”.
El último conjunto de paquetes de Python exhibe un modus operandi similar, si no el mismo, y está diseñado para funcionar como una billetera criptográfica basada en portapapeles que reemplaza al malware. Lo que ha cambiado es la técnica de ofuscación utilizada para ocultar el código JavaScript.
El objetivo final de los ataques es secuestrar transacciones de criptomonedas iniciadas por el desarrollador comprometido y redirigirlas a billeteras controladas por el atacante en lugar del destinatario previsto.
“Este atacante aumentó significativamente su huella en pypi a través de la automatización”, señaló Phylum. “Continuará inundando el ecosistema con paquetes como este”.
Los hallazgos coinciden con una informe de Sonatype, que encontró 691 paquetes maliciosos en el registro npm y 49 paquetes maliciosos en PyPI solo durante el mes de enero de 2023.
El desarrollo ilustra una vez más la amenaza creciente los desarrolladores se enfrentan a los ataques de la cadena de suministro, con adversarios que confían en métodos como el typosquatting para engañar a los usuarios para que descarguen paquetes fraudulentos.
About the Author
