Los investigadores de seguridad cibernética advierten sobre los «paquetes impostores» que imitan las bibliotecas populares disponibles en el repositorio Python Package Index (PyPI).
Se ha descubierto que los 41 paquetes PyPI maliciosos se hacen pasar por variantes con errores tipográficos de módulos legítimos como HTTP, AIOHTTP, solicitudes, urllib y urllib3.
Los nombres de los paquetes son los siguientes:
aio5, aio6, htps1, httiop, httops, httplat, httpscolor, httpsing, httpslib, httpsos, httpsp, httpssp, httpssus, httpsus, httpxgetter, httpxmodifier, httpxrequester, httpxrequesterv2, httpxv2, httpxv3, libhttps, piphttps, pohttp, Requestsd, Requestse, solicitud, ulrlib3, urelib3, urklib3, urlkib3, urllb, urllib33, urolib3, xhttpsp
«Las descripciones de estos paquetes, en su mayor parte, no insinúan su intención maliciosa», dijo Lucija Valentić, investigadora de ReversingLabs. dicho en un nuevo escrito. «Algunos están disfrazados de bibliotecas reales y hacen comparaciones halagadoras entre sus capacidades y las de las bibliotecas HTTP legítimas y conocidas».
Pero en realidad, albergan descargadores que actúan como un conducto para entregar malware de segunda etapa a los hosts infectados o ladrones de información que están diseñados para exfiltrar datos confidenciales, como contraseñas y tokens.
Fortinet, que también revelado paquetes HTTP maliciosos similares en PyPI a principios de esta semana, señaló su capacidad para lanzar un descargador de troyanos que, a su vez, contiene un archivo DLL (Rdudkye.dll) con una variedad de funciones.
El desarrollo es solo el último intento de actores malintencionados de envenenar repositorios de código abierto como GitHub, npm, PyPI y RubyGems para propagar malware a los sistemas de desarrollo y montar ataques a la cadena de suministro.
Los hallazgos llegan un día después de que Checkmarx detallara un aumento en los paquetes de spam en el registro npm de código abierto que están diseñados para redirigir a las víctimas a enlaces de phishing.
«Al igual que con otros ataques a la cadena de suministro, los actores maliciosos cuentan con errores tipográficos que crean confusión y cuentan con desarrolladores incautos para adoptar paquetes maliciosos con nombres que suenan similares por accidente», dijo Valentić.