PyPi es el repositorio líder y un recurso inestimable para los desarrolladores que utilizan Python. Es una plataforma de uso gratuito con más de 600 mil usuarios involucrados en más de 390 mil proyectos. Por lo dicho, es también un espacio cuya seguridad es de gran importancia.
La compañía de seguridad informática Check Point research ha reportado la presencia de unos 10 paquetes de software con malware. Estos elementos fueron subidos a la plataforma con la idea de presentarlos de una forma similar a producciones legítimas y engañar a los usuarios para que los descarguen. La buena noticia es que los administradores de PyPi han sido notificados y las entradas de los paquetes maliciosos fueron eliminadas.
Un par de ejemplos
Uno de los paquetes maliciosos era el Ascii2text, que imitaba en nombre y descripción el paquete Ascii Art Library. El código alterado descargaba un script que se encargaba de buscar las contraseñas locales y luego subirlas a un canal de Discord a través de un webhook.
Los paquetes Free-net-vpn y Free-net-vpn2 eran al parecer intentos por engañar a personas interesadas en preservar su privacidad. El efecto que producían era la captura de las credenciales del usuario, que luego eran publicadas online.
El punto débil de la cadena
Aunque no existen datos sobre la cantidad de descargas de los malwares, se estima que podrían haber contaminado cientos de equipos. El ataque a los puntos claves de la cadena de suministro de desarrollo del software se ha vuelto una táctica cada vez más común. La idea es encontrar un espacio donde la seguridad no es tan buena o las personas actúan de un modo más descuidado. En el caso del repositorio Pypi, su sistema de instalación fácil se convirtió en un factor de riesgo. El comando pip install es cómodo, pero puede resultar en un acto precipitado antes de examinarse adecuadamente la procedencia del paquete.
