Resumen: Nuevos paquetes de Python ubicados en el repositorio de paquetes de código abierto PyPI, permiten robar información sensible y transmitirla a puntos finales disponibles públicamente en la red.
El día de hoy, los investigadores de Sonatype informaron sobre una reciente campaña que aprovecha paquetes maliciosos de Python, para robar las credenciales de AWS de sus víctimas y subirlas a sitios expuestos públicamente.
En su informe, los investigadores identificaron los siguientes paquetes como maliciosos: loglib-modules módulos pyg pygrata pygrata-utils hkg-sol-utils
De los cuales, los primeros dos se encargan de imitar los procesos legítimos de PyPI para engañar a los usuarios e incitarlos a instalar los paquetes falsos.
Del mismo modo, los paquetes “loglib-modules” y “pygrata-utils” se encargan de llevar a cabo la exfiltración de datos, el robo de credenciales de AWS, así como de la información de la interfaz de la red y de las variables del entorno.
Ahora bien, de acuerdo con el análisis de Sonatype, una vez que los datos son exfiltrados, se almacenan en archivos TXT y se suben a un dominio denominado como PyGrata[.]com.
Mismo que no se encuentra protegido por alguna regla, por ende, cualquier usuario o actor de la amenaza que así lo desee, podría observar los datos robados que fueron almacenados en el sitio.
Hoy en día, gracias a la investigación, los puntos finales de este sitio fueron protegidos, sin embargo, aun cuando ya no es del dominio público, es probable que PyGrata[.]com no sea de procedencia legítima.
Finalmente, dado el aprovechamiento de estos paquetes maliciosos, se le insta a todos aquellos que busquen descargar herramientas PyPI específicas, a revisar los nombres de las mismas, sus historiales de publicación, las fechas de carga, los enlaces de la página web, los números de descarga, entre otras cosas. Todo esto con el objetivo de verificar si se trata de un paquete legítimo o no.
Referencias: https://www.helpnetsecurity.com/2022/06/27/python-packages-malicious-code-aws-credentials-video/ |
SÍGUENOS