Repositorio oficial de Python está siendo invadido con paquetes falsos y spam de películas
El repositorio oficial de paquetes de software de Python, PyPI, está siendo inundado de paquetes de spam.
Estos paquetes llevan el nombre de diferentes películas en un estilo que se asocia comúnmente con torrents y sitios “warez” que alojan contenido pirateado.
Cada uno de estos paquetes es publicado por una cuenta seudónima única. Esto dificulta que PyPI elimine los paquetes y las cuentas de correo no deseado a la vez.
PyPI está inundado de paquetes de spam
PyPI está siendo inundado con paquetes de spam que llevan el nombre de películas populares. Los paquetes tienen un estilo que se asocia con sitios torrent o “warez” que brindan descargas ilegales. Por ejemplo, watch- (movie-name) -2021-full-online-movie-free-hd-.
El descubrimiento salió a la luz cuando Adam Boesch, ingeniero de software senior de Sonatype. Él estaba auditando un conjunto de datos y notó un componente PyPI con nombre divertido que tenía el nombre de una popular comedia televisiva.
“Estaba mirando el conjunto de datos y noté ‘wandavision’, que es un poco extraño para el nombre de un paquete”.
“Mirando más de cerca, encontré ese paquete y lo busqué en PyPI porque no lo creía”.
Aunque algunos de estos paquetes tienen algunas semanas de antigüedad, observamos que los spammers continúan agregando paquetes más nuevos a PyPI.
El recuento de resultados de búsqueda de ” más de 10,000″ podría ser inexacto. El número real de paquetes de spam que se muestran en el repositorio de PyPI es mucho menor.
Paquetes falsos
La página web de estos paquetes falsos contiene palabras clave de spam y enlaces a sitios de transmisión de películas de legitimidad y legalidad cuestionables. Por ejemplo:
https://besflix[.]com/movie/XXXXX/profile.htmlA continuación, te muestro un ejemplo de los muchos paquetes publicados hace aproximadamente una hora, en el momento de escribir este artículo:
Según observamos cada uno de estos paquetes fue publicado por una cuenta de autor distinta usando un seudónimo. Esta astuta acción probablemente dificulte que los administradores de PyPI eliminen estos paquetes.
En febrero de este año, PyPI se había visto inundado de falsos generadores de claves “Discord”, “Google” y “Roblox” en un ataque masivo de spam.
En ese momento, Ewa Jodlowska, directora ejecutiva de la Python Software Foundation dijo que los administradores de PyPI estaban trabajando para abordar el ataque de spam. Sin embargo, por la naturaleza de pypi.org, cualquiera puede publicar en el repositorio, y tales situaciones eran comunes.
Los paquetes contienen código de componentes legítimos de PyPI
Además de contener palabras clave de spam y enlaces a sitios de transmisión de cuasi video, los paquetes actúan “normalmente”. Estos paquetes contienen archivos con código funcional e información del autor extraída de paquetes legítimos de PyPI.
Por ejemplo, observamos que el paquete de spam “watch-army-of-the-dead-2021-full-online-movie-free-hd-quality“, contenía información del autor y algo de código del paquete legítimo de PyPI: “jedi-language-server“.
Como informamos anteriormente, los actores maliciosos han combinado código de paquetes legítimos con paquetes falsos o maliciosos para enmascarar sus pasos. Además, hacen que la detección de estos paquetes sea un poco más desafiante.
“Esto no es raro en otros ecosistemas como npm, donde hay millones de paquetes. Por suerte, paquetes como estos son bastante fáciles de detectar y evitar”.
Boesch
“Siempre es una buena idea investigar un paquete antes de usarlo. Si algo parece estar mal, hay una razón para eso”.
En los últimos meses, los ataques a ecosistemas de código abierto como npm, RubyGems y PyPI se han intensificado.
Anteriormente, hemos descubierto a los ciberdelincuentes inundando los repositorios de software con malware, copias maliciosas de confusión de dependencias o simplemente paquetes de vigilancia.
Como tal, podemos asegurar que estos repositorios se han convertido en un campo de batalla entre los colaboradores legítimos y los malintencionados.
Hasta el cierre de esta nota PyPI no ha hecho comentarios sobre el incidente.
