Un paquete inactivo en el repositorio PyPI de Python, denominado django-log-tracker, ha sido actualizado después de casi dos años para distribuir un malware de robo de información llamado Nova Sentinel.

Según Phylum, una firma de seguridad en la cadena de suministro de software, el paquete fue detectado con una actualización anómala el 21 de febrero de 2024, aunque el repositorio de GitHub vinculado no se había actualizado desde el 10 de abril de 2022. Este descubrimiento plantea preguntas sobre la seguridad de los repositorios de paquetes de software y la cadena de suministro en el ecosistema de Python.

La actualización maliciosa del paquete, denominada 1.0.4, fue descargada 107 veces en el día de su publicación. Antes de la eliminación del paquete, había sido descargado un total de 3,866 veces. El ataque implicó una alteración simple del contenido del paquete, reduciéndolo a solo dos archivos (init.py y example.py), dejando caer toda la funcionalidad original. En su lugar, se introdujo un enlace de descarga de un ejecutable llamado “Updater_1.4.4_x64.exe” que, según la empresa, se lanzaba utilizando la función os.startfile() de Python.

Lo que hace única esta amenaza es que parece haber sido un intento de ataque de la cadena de suministro a través de una cuenta de PyPI comprometida. Esto significa que si este paquete hubiera sido utilizado en proyectos populares con una dependencia abierta a la última versión, la versión maliciosa habría sido descargada automáticamente, exponiendo esos proyectos a riesgos significativos de seguridad.

Nova Sentinel, el malware incrustado en el ejecutable, es un conocido programa de robo de información. Sekoia, otra firma de seguridad, lo documentó por primera vez en noviembre de 2023, observando que se distribuía en forma de aplicaciones falsas de Electron en sitios web fraudulentos que ofrecían descargas de videojuegos. El hecho de que un programa de este tipo haya llegado a la comunidad de Python a través de un paquete de PyPI demuestra las vulnerabilidades en el sistema de repositorios de paquetes de software, lo que resalta la necesidad de medidas más rigurosas de seguridad en todo el ecosistema de desarrollo de software.

Fuente:https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html

You need to add a widget, row, or prebuilt layout before you’ll see anything here. 🙂