Si eres un desarrollador de Python, sugerimos tener cuidado. De acuerdo a un reporte Phylum, una compañía de seguridad y software, más de 450 paquetes con malware fueron publicados en el Python Package Index (PyPI).
No es el primer ataque de este tipo al repositorio, que es una de las fuentes de recursos más populares con los desarrolladores. De hecho, ya en noviembre de 2022 se había observado un modelo de operación similar.
¿Cómo operan los paquetes infectados con Malware en Python?
La modalidad más popular para atacar a través de estos repositorios es el typosquatting. ¿Qué es esto?
De manera sencilla, es un tipo de ingeniería social que hace uso de uno de los errores más comunes: pulsar mal el teclado al buscar algo en Internet.
Lo que los ladrones hacen es que determinan cuáles son los errores más comunes que cometen los desarrolladores al buscar paquetes de Python. Luego de esto recrean recursos que son idénticos al original, solo que la dirección de origen utiliza el error al escribir para salir como primer resultado y de esta manera fingir ser el original. Luego la persona descarga el malware creyendo estar en la página o recurso original.
Te puede interesar: ¿Esta AI te permite crear tu propio Pokémon, con solo texto?
De acuerdo con el reporte de Phylum en esta ocasión se buscó plantar estos paquetes infectados al imitar otros populares entre los desarrolladores como son ifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana y tensorflow, por tan solo mencionar a algunos.
«Después de la instalación, un archivo JavaScript malicioso se coloca en el sistema y se ejecuta en el fondo de cualquier sesión de navegación web. Cuando un desarrollador copia una dirección de criptomoneda, la dirección se reemplaza en el portapapeles con la dirección del atacante». Esto se logra a través de una extensión de Chromium en la carpeta de AppData. Los buscadores afectados son Google Chrome, Microsoft Edge, Brave y Opera.
El objetivo final de este tipo de Malware es el poder secuestrar transacciones de cripto que sean iniciadas por el desarrollador o cualquier persona en los equipos infectados. De acuerdo con Phylum, este tipo de ataques solo incrementará en los próximos años gracias a la ‘automatización’ que se ha perfeccionado, lo que permite inundar los repositorios de este tipo.
Imágenes: imágen de Elchinator en Pixabay
