Atacantes colocan paquetes malitencionados en el repositorio pypi

Investigadores de seguridad de la oficina de seguridad de Eslovaquia han advertido sobre la presencia de paquetes malintencionados en el repositorio de pypi, uno de los mas usados por desarrolladores en Python. Dichos paquetes toman nombres muy similares a sus pares originales por lo que han logrado engañar a muchos desarrolladores.

De acuerdo con la advertencia, todas las plataformas de escritorio son vulnerables a dichos paquetes (Linux, Windows y Mac OS) y los mismos tienen un nivel de vulnerabilidad tipo medio por lo que los desarrolladores deben estar pendientes del nombre del paquete a descargar desde pypi.

En cuanto a la lista de los paquetes malitencionados son los siguientes:

  • acqusition (el paquete real es acquisition)
  • apidev-coop (el paquete real es apidev-coop_cms)
  • bzip (el paquete real es bz2file)
  • crypt (el paquete real es crypto)
  • django-server (el paquete real es django-server-guardian-api)
  • pwd (el paquete real es pwdhash)
  • setup-tools (el paquete real es setuptools)
  • telnet (el paquete real es telnetsrvlib)
  • urlib3 (el paquete real es urllib3)
  • urllib (el paquete real es urllib3)

Estos paquetes falsos o malintencionados poseen el mismo código y funcionalidad que sus pares originales con la pequeña particularidad de que el el script de instalación setup.py, incluye un código malicioso que hasta los momentos, solo es usado para enviar la siguiente información al servidor remoto http://121.42.217.44:8080/:

  • Nombre y versión del paquete malintencionado
  • El nombre del usuario quien instala el paquete malicioso
  • El hostname

De acuerdo con la nota publicada por la oficina de seguridad de Eslovaquia, estos paquetes maliciosos han sido descargados e instalados en múltiples ocasiones entre los meses de junio y septiembre del año en curso (2017) por lo que se ha hecho un llamado a los desarrolladores en Python a tener mas precaución al momento de descargar paquetes desde el repositorio pypi.

Vale reseñar que estos paquetes afectarían a la versión 2.X de Python y no a la 3.X la cuál hasta los momentos, presenta varios problemas de incompatibilidad al momentos de instalar estos paquetes maliciosos.

Vía: NBU