Malicious PyPI Packages: Cómo el Abuso de Gmail y WebSockets Pone en Riesgo los Sistemas

En un mundo cada vez más digitalizado, los desarrolladores deben estar alertas ante las amenazas cibernéticas. Recientemente, se han descubierto paquetes maliciosos en PyPI que abusan de Gmail y WebSockets para secuestrar sistemas, lo que representa una nueva forma de peligro para la seguridad digital. Estos paquetes, que han estado disponibles durante varios años, muestran la importancia de mantener prácticas seguras en el desarrollo y la gestión de software.

¿Qué son los Paquetes Maliciosos de PyPI?

PyPI, o Python Package Index, es un repositorio de software para el lenguaje de programación Python. Permite a los desarrolladores compartir y utilizar paquetes de código que pueden simplificar el trabajo. Sin embargo, la existencia de paquetes maliciosos pone de manifiesto los riesgos inherentes a esta plataforma.

El Problema de los Paquetes Maliciosos

Recientemente, el equipo de investigación de amenazas de Socket identificó siete paquetes que utilizaban los servidores SMTP de Gmail y WebSockets para la exfiltración de datos y ejecución remota de comandos. Estos paquetes fueron reportados a PyPI y retirados, pero el impacto ya había sido significativo. Uno de ellos fue descargado más de 18,000 veces antes de ser eliminado, lo que indica un problema serio en la visibilidad de estas amenazas.

Cómo Funciona el Abuso de Gmail y WebSockets

Operación de los Paquetes

Los paquetes maliciosos describen un proceso donde se utilizan credenciales de Gmail codificadas para iniciar sesión en el servidor SMTP, permitiendo a los atacantes recopilar información de reconocimiento y acceder de forma remota a sistemas comprometidos. La actividad se camufla gracias a que Gmail es un servicio confiable y, por tanto, es menos probable que sea bloqueado por firewalls o sistemas de detección de intrusos (EDR).

Procesos de Exfiltración

Una vez que los paquetes han establecido comunicación a través del correo electrónico, se conectan a un servidor remoto utilizando WebSocket sobre SSL. Esto permite la creación de un túnel bidireccional, lo que facilita el acceso a paneles de administración, transferencia de archivos, exfiltración de correos electrónicos y ejecución de comandos, entre otras actividades.

Indicadores de Robo de Criptomonedas

Socket ha alertado sobre la posible intención de robo de criptomonedas detrás de estos paquetes. Las direcciones de correo electrónico asociadas a los atacantes, como blockchain.bitcoins2020@gmail.com, evidencian tácticas previamente utilizadas para sustraer claves privadas de carteras de Solana, creando un riesgo significativo para aquellas personas que invierten en criptomonedas.

Los Paquetes Identificados

A continuación, se presentan los siete paquetes maliciosos identificados por el equipo de Socket:

• Coffin-Codes-Pro: 9,000 descargas
• Coffin-Codes-NET2: 6,200 descargas
• Coffin-Codes-NET: 6,100 descargas
• Coffin-Codes-2022: 18,100 descargas
• Coffin2022: 6,500 descargas
• Coffin-Grave: 6,500 descargas
• cfc-bsb: 2,900 descargas

Estos paquetes se hacían pasar por el paquete legítimo denominado "Coffin", que es un adaptador ligero para integrar plantillas Jinja2 en proyectos de Django.

Consecuencias: ¿Qué Hacer si Has Instalado Paquetes Maliciosos?

Pasos a Seguir

Si has instalado alguno de los paquetes mencionados, es fundamental que actúes con rapidez:

1. Desinstala los Paquetes: Elimina inmediatamente los paquetes maliciosos de tu entorno.
2. Cambia Credenciales: Rota todas las claves y credenciales que pudieran haberse visto comprometidas.
3. Monitorea tu Sistema: Mantente alerta a cualquier actividad inusual en tus sistemas.

Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Contexto Adicional: Malware en el Ecosistema NPM

Simultáneamente a este descubrimiento, otro informe de errores relacionados con el ecosistema npm fue publicado. Se encontró un paquete llamado ‘crypto-encrypt-ts’, que se disfrazaba como una versión moderna de la antigua y popular biblioteca ‘CryptoJS’. Esta biblioteca en realidad exfiltraba secretos de criptomonedas y variables de entorno hacia un punto de control controlado por actores maliciosos. Afectaba específicamente a las carteras con balances superiores a 1,000 unidades, intentando robar sus claves privadas.

Riesgo en el Mundo de las Criptomonedas

El riesgo en el ámbito de las criptomonedas no es para ser tomado a la ligera. Además de las trampas en torno a los paquetes maliciosos, existe un creciente mercado negro que busca robar información sensible. Los usuarios de criptomonedas deben ser cada vez más cautelosos y formarse en buenas prácticas de seguridad digital.

Recomendaciones para Aumentar la Seguridad

Mejores Prácticas en Seguridad Digital

Para proteger tu entorno de desarrollo y tus sistemas, considera implementar las siguientes medidas:

• Uso de Antivirus: Instala software antivirus adecuado y mantenlo actualizado. Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.
• Revisión de Paquetes: Antes de instalar cualquier paquete, consulta siempre su reputación, número de descargas y comentarios de otros usuarios.
• Autenticación de Dos Factores (2FA): Activa la 2FA en todas tus cuentas relacionadas con el desarrollo o las criptomonedas.

Educarse y Formar un Equipo de Respuesta

La educación en ciberseguridad es clave. Asegúrate de que tú y tu equipo estén al tanto de las últimas amenazas y prácticas recomendadas. Además, tener un equipo de respuesta a incidentes bien definido puede hacer la diferencia en caso de un ataque.

El Futuro de la Seguridad en la Programación

La amenaza de los paquetes maliciosos en PyPI y npm nos recuerda que los atacantes son cada vez más sofisticados y que la seguridad nunca debe tomarse a la ligera. La protección de tus datos y sistemas es una tarea continua que requiere vigilancia.

Mantente Informado

Mantente al tanto de las últimas tendencias y noticias en ciberseguridad, así como de las recomendaciones de los expertos. Un enfoque proactivo puede ayudarte a evitar ser víctima de estos tipos de ataques.

En Resumen

Los incidentes recientes sobre el abuso de paquetes maliciosos de PyPI que usan Gmail y WebSockets destacan la importancia de la seguridad en el desarrollo de software. La recolección de datos, la ejecución de comandos remotos y el robo de criptomonedas son problemas serios que deben tratarse con la máxima seriedad.

Asegúrate de seguir practicando buenas medidas de seguridad y mantente informado sobre las текущие amenazas. Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Recuerda que tu salud digital es una prioridad; cada paso que des hacia la prevención puede marcar una gran diferencia en el futuro.

Fuente: https://www.bleepingcomputer.com/news/security/malicious-pypi-packages-abuse-gmail-websockets-to-hijack-systems/