Ofertas relámpago:  Curso de Hacking de Redes Inalámbricas 60% Descuento

Repositorio oficial de Python está siendo invadido con paquetes falsos y spam de películas

title

El repositorio oficial de paquetes de software de Python, PyPI, está siendo inundado de paquetes de spam.

Estos paquetes llevan el nombre de diferentes películas en un estilo que se asocia comúnmente con torrents y sitios “warez” que alojan contenido pirateado.

Cada uno de estos paquetes es publicado por una cuenta seudónima única. Esto dificulta que PyPI elimine los paquetes y las cuentas de correo no deseado a la vez.

PyPI está inundado de paquetes de spam

PyPI está siendo inundado con paquetes de spam que llevan el nombre de películas populares. Los paquetes tienen un estilo que se asocia con sitios torrent o “warez” que brindan descargas ilegales. Por ejemplo, watch- (movie-name) -2021-full-online-movie-free-hd-.

El descubrimiento salió a la luz cuando Adam Boesch, ingeniero de software senior de Sonatype. Él estaba auditando un conjunto de datos y notó un componente PyPI con nombre divertido que tenía el nombre de una popular comedia televisiva.

“Estaba mirando el conjunto de datos y noté ‘wandavision’, que es un poco extraño para el nombre de un paquete”.

“Mirando más de cerca, encontré ese paquete y lo busqué en PyPI porque no lo creía”.

El repositorio de PyPI está inundado de paquetes de spam desde hace unas semanas

Aunque algunos de estos paquetes tienen algunas semanas de antigüedad, observamos que los spammers continúan agregando paquetes más nuevos a PyPI.

El recuento de resultados de búsqueda de ” más de 10,000″ podría ser inexacto. El número real de paquetes de spam que se muestran en el repositorio de PyPI es mucho menor. 

Paquetes falsos

La página web de estos paquetes falsos contiene palabras clave de spam y enlaces a sitios de transmisión de películas de legitimidad y legalidad cuestionables. Por ejemplo:

https://besflix[.]com/movie/XXXXX/profile.html

A continuación, te muestro un ejemplo de los muchos paquetes publicados hace aproximadamente una hora, en el momento de escribir este artículo:

Los spammers continúan inundando PyPI

Según observamos cada uno de estos paquetes fue publicado por una cuenta de autor distinta usando un seudónimo. Esta astuta acción probablemente dificulte que los administradores de PyPI eliminen estos paquetes.

En febrero de este año, PyPI se había visto inundado de falsos generadores de claves “Discord”, “Google” y “Roblox” en un ataque masivo de spam.

En ese momento, Ewa Jodlowska, directora ejecutiva de la Python Software Foundation dijo que los administradores de PyPI estaban trabajando para abordar el ataque de spam. Sin embargo, por la naturaleza de pypi.org, cualquiera puede publicar en el repositorio, y tales situaciones eran comunes.

Los paquetes contienen código de componentes legítimos de PyPI

Además de contener palabras clave de spam y enlaces a sitios de transmisión de cuasi video, los paquetes actúan “normalmente”. Estos paquetes contienen archivos con código funcional e información del autor extraída de paquetes legítimos de PyPI.

Por ejemplo, observamos que el paquete de spam “watch-army-of-the-dead-2021-full-online-movie-free-hd-quality“, contenía información del autor y algo de código del paquete legítimo de PyPI: “jedi-language-server“.

Dentro de los paquetes de spam de PyPI hay código tomado de componentes reales

Como informamos anteriormente, los actores maliciosos han combinado código de paquetes legítimos con paquetes falsos o maliciosos para enmascarar sus pasos. Además, hacen que la detección de estos paquetes sea un poco más desafiante.

“Esto no es raro en otros ecosistemas como npm, donde hay millones de paquetes. Por suerte, paquetes como estos son bastante fáciles de detectar y evitar”.

“Siempre es una buena idea investigar un paquete antes de usarlo. Si algo parece estar mal, hay una razón para eso”.

Boesch

En los últimos meses, los ataques a ecosistemas de código abierto como npm, RubyGems y PyPI se han intensificado.

Anteriormente, hemos descubierto a los ciberdelincuentes inundando los repositorios de software con malware, copias maliciosas de confusión de dependencias o simplemente paquetes de vigilancia.

Como tal, podemos asegurar que estos repositorios se han convertido en un campo de batalla entre los colaboradores legítimos y los malintencionados.

Hasta el cierre de esta nota PyPI no ha hecho comentarios sobre el incidente.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información