En otro hallazgo que podr\u00eda exponer a los desarrolladores a un mayor riesgo de un ataque a la cadena de suministro, se descubri\u00f3 que casi un tercio de los paquetes en PyPI, el \u00edndice de paquetes de Python, activan la ejecuci\u00f3n autom\u00e1tica de c\u00f3digo al descargarlos.<\/p>\n
“Una caracter\u00edstica preocupante en pip\/PyPI permite que el c\u00f3digo se ejecute autom\u00e1ticamente cuando los desarrolladores simplemente descargan un paquete”, dijo el investigador de Checkmarx, Yehuda Gelb. dijo<\/a> en un informe t\u00e9cnico publicado esta semana.<\/p>\n “Adem\u00e1s, esta funci\u00f3n es alarmante debido al hecho de que una gran cantidad de paquetes maliciosos que encontramos en la naturaleza utilizan esta funci\u00f3n de ejecuci\u00f3n de c\u00f3digo durante la instalaci\u00f3n para lograr tasas de infecci\u00f3n m\u00e1s altas”.<\/p>\n Una de las formas en que se pueden instalar paquetes para Python es ejecutando el “instalar pip<\/a>“, que, a su vez, invoca un archivo llamado “setup.py” que viene incluido con el m\u00f3dulo.<\/p>\n “setup.py”, como su nombre lo indica, es un gui\u00f3n de configuraci\u00f3n<\/a> que se usa para especificar los metadatos asociados con el paquete, incluidas sus dependencias.<\/p>\n Si bien los actores de amenazas recurrieron a la incorporaci\u00f3n de c\u00f3digo malicioso en el archivo setup.py, Checkmarx descubri\u00f3 que los adversarios podr\u00edan lograr los mismos objetivos ejecutando lo que se llama un “descargar pip<\/a>” dominio.<\/p>\n “pip download hace la misma resoluci\u00f3n y descarga que pip install, pero en lugar de instalar las dependencias, recopila las distribuciones descargadas en el directorio proporcionado (el directorio actual es el predeterminado)”, dice la documentaci\u00f3n.<\/p>\n En otras palabras, el comando se puede usar para descargar un paquete de Python sin tener que instalarlo en el sistema. Pero resulta que, al ejecutar el comando de descarga, tambi\u00e9n se ejecuta el script “setup.py” antes mencionado, lo que da como resultado la ejecuci\u00f3n del c\u00f3digo malicioso que contiene.<\/p>\n Sin embargo, vale la pena se\u00f1alar que el problema ocurre solo cuando el paquete contiene un archivo tar.gz en lugar de un archivo de rueda (.whl), que “elimina la ejecuci\u00f3n de ‘setup.py’ de la ecuaci\u00f3n”.<\/p>\n “Los desarrolladores que optan por descargar, en lugar de instalar paquetes, esperan razonablemente que no se ejecute ning\u00fan c\u00f3digo en la m\u00e1quina al descargar los archivos”, se\u00f1al\u00f3 Gelb, caracteriz\u00e1ndolo como un problema de dise\u00f1o<\/a> en lugar de un error.<\/p>\n Aunque pip utiliza de manera predeterminada ruedas en lugar de archivos tar.gz, un atacante podr\u00eda aprovechar este comportamiento para publicar intencionalmente paquetes de python sin un archivo .whl, lo que llevar\u00eda a la ejecuci\u00f3n del c\u00f3digo malicioso presente en el script de instalaci\u00f3n.<\/p>\n “Cuando un usuario descarga un paquete de python desde PyPi, pip utilizar\u00e1 preferentemente el archivo .whl, pero recurrir\u00e1 al archivo tar.gz si falta el archivo .whl”, dijo Gelb.<\/p>\n Los hallazgos se producen cuando la Agencia de Seguridad Nacional de EE. UU. (NSA), junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina del Director de Inteligencia Nacional (ODNI), orientaci\u00f3n publicada<\/a> para asegurar la cadena de suministro de software.<\/p>\n “A medida que la amenaza cibern\u00e9tica contin\u00faa volvi\u00e9ndose m\u00e1s sofisticada, los adversarios han comenzado a atacar la cadena de suministro de software, en lugar de confiar en las vulnerabilidades conocidas p\u00fablicamente”, dijo la agencia. dijo<\/a>. “Hasta que todos los DevOps sean DevSecOps, el ciclo de vida del desarrollo de software estar\u00e1 en riesgo”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Ejecuci\u00f3n](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1662158174_52_Advertencia-la-funcion-PyPI-ejecuta-el-codigo-automaticamente-despues-de.jpg\" "\\"Ejecuci\u00f3n")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n