{"id":225692,"date":"2022-06-24T10:32:55","date_gmt":"2022-06-24T10:32:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/multiples-bibliotecas-de-python-con-puerta-trasera-atrapadas-robando-claves-y-secretos-de-aws\/"},"modified":"2022-06-24T10:32:56","modified_gmt":"2022-06-24T10:32:56","slug":"multiples-bibliotecas-de-python-con-puerta-trasera-atrapadas-robando-claves-y-secretos-de-aws","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/multiples-bibliotecas-de-python-con-puerta-trasera-atrapadas-robando-claves-y-secretos-de-aws\/","title":{"rendered":"M\u00faltiples bibliotecas de Python con puerta trasera atrapadas robando claves y secretos de AWS"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los investigadores han descubierto una serie de paquetes de Python maliciosos en el repositorio oficial de software de terceros que est\u00e1n dise\u00f1ados para filtrar las credenciales de AWS y las variables de entorno a un punto final expuesto p\u00fablicamente.<\/p>\n

La lista de paquetes incluye m\u00f3dulos loglib, m\u00f3dulos pyg, pygrata, pygrata-utils y hkg-sol-utils, seg\u00fan el investigador de seguridad de Sonatype, Ax Sharma. Los paquetes y el punto final ahora se han eliminado.<\/p>\n

“Algunos de estos paquetes contienen c\u00f3digo que lee y extrae sus secretos o usan una de las dependencias que har\u00e1n el trabajo”, Sharma dijo<\/a>.<\/p>\n

El c\u00f3digo malicioso inyectado en “loglib-modules” y “pygrata-utils” le permite recopilar credenciales de AWS, informaci\u00f3n de interfaz de red y variables de entorno y exportarlas a un punto final remoto: “hxxp:\/\/graph.pygrata[.]com:8000\/subir”.<\/p>\n

De manera preocupante, los puntos finales que alojan esta informaci\u00f3n en forma de cientos de archivos .TXT no estaban protegidos por ninguna barrera de autenticaci\u00f3n, lo que permit\u00eda efectivamente que cualquier parte en la web accediera a estas credenciales.<\/p>\n

Cabe se\u00f1alar que paquetes como “pygrata” usan uno de los dos paquetes mencionados anteriormente como dependencia y no albergan el c\u00f3digo en s\u00ed mismos. La identidad del actor de la amenaza y sus motivos siguen sin estar claros.<\/p>\n

\"Secretos<\/div>\n

“\u00bfLas credenciales robadas se expusieron intencionalmente en la web o fueron una consecuencia de las malas pr\u00e1cticas de OPSEC?”, cuestion\u00f3 Sharma. “Si se trata de alg\u00fan tipo de prueba de seguridad leg\u00edtima, seguramente no hay mucha informaci\u00f3n en este momento para descartar la naturaleza sospechosa de esta actividad”.<\/p>\n

Esta no es la primera vez que se descubren paquetes maliciosos similares en repositorios de c\u00f3digo abierto. Exactamente hace un mes, se descubrieron dos paquetes troyanizados de Python y PHP, llamados ctx y phpass, en otro caso de un ataque a la cadena de suministro de software.<\/p>\n

\"La<\/a><\/div>\n

Posteriormente, un investigador de seguridad con sede en Estambul, Yunus Ayd\u0131n, se atribuy\u00f3 la responsabilidad de las modificaciones no autorizadas y afirm\u00f3 que simplemente quer\u00eda “mostrar c\u00f3mo este simple ataque afecta a m\u00e1s de 10 millones de usuarios y empresas”.<\/p>\n

De manera similar, una empresa alemana de pruebas de penetraci\u00f3n llamada Code White admiti\u00f3 el mes pasado cargar paquetes maliciosos en el registro de NPM en un intento por imitar de manera realista los ataques de confusi\u00f3n de dependencia dirigidos a sus clientes en el pa\u00eds, la mayor\u00eda de los cuales son destacados medios de comunicaci\u00f3n, log\u00edstica, y firmas industriales.<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los investigadores han descubierto una serie de paquetes de Python maliciosos en el repositorio oficial de software de<\/p>\n","protected":false},"author":1,"featured_media":225693,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,9532,26662,7353,42929,4664,99,4662,4668,4667,7608,4654,4658,4659,4653,4655,4663,1732,39018,41143,6628,4666,4665,7157,4660],"class_list":["post-225692","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-atrapadas","tag-aws","tag-bibliotecas","tag-claves","tag-como-hackear","tag-con","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-multiples","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-puerta","tag-python","tag-robando","tag-secretos","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-trasera","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/225692","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=225692"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/225692\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/225693"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=225692"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=225692"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=225692"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}