Paquetes PyPI secuestrados después de que los desarrolladores cayeran en los correos electrónicos de phishing

 

Ayer se detectó una campaña de phishing dirigida a los mantenedores de paquetes de Python publicados en el registro de PyPI.

Los paquetes de Python ‘exotel’ y ‘spam’ se encuentran entre los cientos que se vieron mezclados con malware después de que los atacantes comprometieran con éxito las cuentas de los mantenedores que cayeron en el correo electrónico de phishing.

La campaña de phishing se dirige a los mantenedores de PyPI

Los administradores del registro de PyPI confirmaron ayer que una campaña de correo electrónico de phishing había estado dirigida activamente a los mantenedores de PyPI después de que el miembro de la junta del proyecto Django, Adam Johnson, informado recibiendo un correo electrónico sospechoso.

TEl correo electrónico insta a los desarrolladores, cuyos paquetes se publican en PyPI, a que se sometan a un proceso de “validación” obligatorio o se arriesguen a que se eliminen sus paquetes del registro de PyPI:

“El sitio de phishing parece bastante convincente”, explicó Johnson.

“Pero como está en Google Sites, hay un botón de ‘información’ flotante en la parte inferior izquierda. Al hacer clic en esto, puede informar el sitio como un ataque de phishing, lo cual he hecho”.

PyPI identifica paquetes comprometidos

Desafortunadamente, algunos desarrolladores cayeron en los correos electrónicos de phishing e ingresaron sus credenciales en la página web del atacante, lo que provocó que sus creaciones fueran secuestradas y mezcladas con malware.

Entre la lista de versiones secuestradas de paquetes se encuentran ‘spam’ (versiones 2.0.2 y 4.0.2) y ‘exotel’ (versión 0.1.6). Estas versiones fueron eliminadas de PyPI ayer.

Los administradores de PyPI aseguraron además que habían identificado y eliminado “varios cientos de typosquats” que coincidían con el patrón.

El código malicioso insertado en las versiones secuestradas exfiltró el nombre de la computadora del usuario al dominio linkedopports[.]com y luego lo descargó y lanzó un troyano que realiza solicitudes al mismo dominio ilícito.

“Estamos revisando activamente los informes de nuevas versiones maliciosas y nos aseguramos de que se eliminen y se restablezcan las cuentas del mantenedor”, dice PyPI.

“También estamos trabajando para proporcionar características de seguridad como 2FA más frecuentes en todos los proyectos en PyPI”.

Junto con esto, los administradores del registro compartieron una serie de pasos que se pueden tomar para protegerse de tales ataques de phishing, como verificar la URL de la página antes de proporcionar las credenciales de su cuenta PyPI:

Este desarrollo sigue El secuestro de May de la popular biblioteca de PyPI ‘ctx’ que había llevado a los administradores de PyPI a autenticación obligatoria de dos factores para los mantenedores de proyectos críticos.

Los repetidos incidentes de malware y los ataques que involucran componentes de software de código abierto han obligado a los administradores de registros a aumentar la seguridad en todas sus plataformas. Queda por ver qué tan bien se alinearía la carga adicional de asegurar sus proyectos, además de desarrollarlos, con las expectativas de un desarrollador de software de código abierto.

 

Fuente: , BleepingComputer

También podría gustarte

More Similar Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.