{"id":1622633,"date":"2025-03-15T06:46:31","date_gmt":"2025-03-15T06:46:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-paquetes-de-pypi-maliciosos-robaron-tokens-en-la-nube-mas-de-14100-descargas-antes-de-eliminar\/"},"modified":"2025-03-15T06:46:36","modified_gmt":"2025-03-15T06:46:36","slug":"los-paquetes-de-pypi-maliciosos-robaron-tokens-en-la-nube-mas-de-14100-descargas-antes-de-eliminar","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-paquetes-de-pypi-maliciosos-robaron-tokens-en-la-nube-mas-de-14100-descargas-antes-de-eliminar\/","title":{"rendered":"Los paquetes de PYPI maliciosos robaron tokens en la nube: m\u00e1s de 14,100 descargas antes de eliminar"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">  Seguridad de malware \/ cadena de suministro<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Los-paquetes-de-PYPI-maliciosos-robaron-tokens-en-la-nube.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de seguridad cibern\u00e9tica han advertido sobre una campa\u00f1a maliciosa que se dirige a los usuarios del repositorio del \u00edndice de paquetes de Python (PYPI) con bibliotecas falsas disfrazadas de utilidades relacionadas con el &#8220;tiempo&#8221;, pero alberga la funcionalidad oculta para robar datos delicados como tokens de acceso a la nube.<\/p>\n<p>Software Supply Chain Security Firma ReversingLabs <a rel=\"noopener nofollow\" href=\"https:\/\/x.com\/ReversingLabs\/status\/1900198602242204003\" target=\"_blank\">dicho<\/a> Descubri\u00f3 dos conjuntos de paquetes por un total de 20 de ellos. Los paquetes se han descargado acumulativamente m\u00e1s de 14,100 veces &#8211;<\/p>\n<ul>\n<li>instant\u00e1nea-foto (2,448 descargas)<\/li>\n<li>Time-Check-server (316 descargas)<\/li>\n<li>Time-check-server-get (178 descargas)<\/li>\n<li>An\u00e1lisis de servicio de tiempo (144 descargas)<\/li>\n<li>Time-Server-Analyzer (74 descargas)<\/li>\n<li>Tiempo de prueba de servicio (155 descargas)<\/li>\n<li>Verificador de tiempo de tiempo (151 descargas)<\/li>\n<li>Aclient-SDK (120 descargas)<\/li>\n<li>Acloud-Client (5.496 descargas)<\/li>\n<li>Acloud-Clients (198 descargas)<\/li>\n<li>ACLOUD-CLIENT-USES (294 descargas)<\/li>\n<li>Alicloud-Client (622 descargas)<\/li>\n<li>Alicloud-Client-SDK (206 descargas)<\/li>\n<li>Amzclients-SDK (100 descargas)<\/li>\n<li>awscloud-client-core (206 descargas)<\/li>\n<li>Credential-Python-SDK (1,155 descargas)<\/li>\n<li>Enumer-IAM (1,254 descargas)<\/li>\n<li>TClients-SDK (173 descargas)<\/li>\n<li>tcloud-python-sdks (98 descargas)<\/li>\n<li>Tcloud-Python-Test (793 descargas)<\/li>\n<\/ul>\n<p>Si bien el primer conjunto se relaciona con los paquetes que se utilizan para cargar datos en la infraestructura del actor de amenaza, el segundo cl\u00faster consiste en paquetes que implementan funcionalidades de clientes en la nube para varios servicios como Alibaba Cloud, Amazon Web Services y Tencent Cloud. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Pero tambi\u00e9n han estado utilizando paquetes relacionados con el &#8220;tiempo&#8221; para exfiltrar los secretos de la nube. Todos los paquetes identificados ya se han eliminado de PYPI a partir de la escritura.<\/p>\n<p>Un an\u00e1lisis posterior ha revelado que tres de los paquetes, <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/kohlersbtuh15\/accesskey_tools\/blob\/main\/aliyun\/requirements.txt\" target=\"_blank\">acloud-cliente<\/a>, <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/kohlersbtuh15\/accesskey_tools\/blob\/main\/aws\/requirements.txt\" target=\"_blank\">enumer-iam<\/a>y <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/kohlersbtuh15\/accesskey_tools\/blob\/main\/tencentcloud\/requirements.txt\" target=\"_blank\">prueba de tcloud-python<\/a>ha sido incluido como dependencias de un proyecto GitHub relativamente popular llamado <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/kohlersbtuh15\/accesskey_tools\" target=\"_blank\">AccessKey_Tools<\/a> Eso se ha bifurcado 42 veces y comenz\u00f3 519 veces.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742021191_535_Los-paquetes-de-PYPI-maliciosos-robaron-tokens-en-la-nube.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1742021191_535_Los-paquetes-de-PYPI-maliciosos-robaron-tokens-en-la-nube.png\" alt=\"Paquetes de Pypi maliciosos\" border=\"0\" data-original-height=\"788\" data-original-width=\"1339\" title=\"Paquetes de Pypi maliciosos\"\/><\/a><\/div>\n<p>El 8 de noviembre de 2023 se realiz\u00f3 una referencia de compromiso de c\u00f3digo fuente del 8 de noviembre de 2023, lo que indica que el paquete ha estado disponible para descargar en Pypi desde entonces. El paquete se ha descargado 793 veces hasta la fecha, por estad\u00edsticas de Pepy.tech.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Fortinet Fortiguard Labs dijo que descubri\u00f3 miles de paquetes en PYPI y NPM, algunos de los cuales se han encontrado que incrustan scripts de instalaci\u00f3n sospechosos dise\u00f1ados para implementar un c\u00f3digo malicioso durante la instalaci\u00f3n o comunicarse con servidores externos.<\/p>\n<p>&#8220;Las URL sospechosas son un indicador clave de paquetes potencialmente maliciosos, ya que a menudo se usan para descargar cargas \u00fatiles adicionales o establecer comunicaci\u00f3n con servidores de comando y control (C&#038;C), dando a los atacantes control sobre sistemas infectados&#8221;, Jenna Wang <a rel=\"noopener nofollow\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/fortinet-identifies-malicious-packages-in-the-wild-insights-and-trends\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;En 974 paquetes, tales URL est\u00e1n vinculadas al riesgo de exfiltraci\u00f3n de datos, m\u00e1s descargas de malware y otras acciones maliciosas. Es crucial analizar y monitorear las URL externos en las dependencias de los paquetes para evitar la explotaci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/malicious-pypi-packages-stole-cloud.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 de marzo de 2025\ue804Ravie Lakshmanan Seguridad de malware \/ cadena de suministro Los investigadores de seguridad cibern\u00e9tica<\/p>\n","protected":false},"author":1,"featured_media":1622634,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,899,4661,4664,54386,8545,273784,36,34681,273783,16,4654,273782,4659,4653,4655,10650,7358,69530,7527,246983,4665,246984,50202,455,239484],"class_list":["post-1622633","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-antes","tag-ataques-ciberneticos","tag-como-hackear","tag-descargas","tag-eliminar","tag-las-noticias-del-hacker","tag-los","tag-maliciosos","tag-malware-de-ransomware","tag-mas","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nube","tag-paquetes","tag-pypi","tag-robaron","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-tokens","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1622633","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1622633"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1622633\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1622634"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1622633"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1622633"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1622633"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}