Ofertas en tecnología

Después de años de inactividad, el paquete de Python recibe una actualización maliciosa

Los sistemas de cientos de empresas de todo el mundo pueden estar en riesgo de fuga de datos. Sin embargo, la amenaza no es ningún tipo de ransomware o malware, sino la manipulación de un antiguo paquete de código de Python que no ha recibido actualizaciones desde 2014.

El descubrimiento fue realizado por el investigador de seguridad cibernética Yee Ching Tok del Instituto SANS, quien se dio cuenta de que el paquete Python había recibido una actualización el sábado pasado (21), después de años inactivo.

Al analizar la actualización del paquete, Ching Tok notó que nada había cambiado más que la adición de unas pocas líneas de código, que después de interpretarse cuidadosamente se identificaron como instrucciones para exfiltrar claves secretas (utilizadas para el acceso administrativo) de Amazon Web Services (AWS). relacionados con los sistemas en los que se utiliza la solución hasta el día de hoy, incluso ocho años después de su última mejora.

Algunas de las líneas de código agregadas al repositorio de Python. (Imagen: Reproducción/SOPHOS)

El código malicioso del paquete ya se eliminó y Ching Tok recomienda que los usuarios de la biblioteca en cuestión verifiquen que no estén ejecutando la versión modificada de robo de claves de AWS. Además, el investigador de seguridad identificó las mismas instrucciones en un popular proyecto PHP disponible en GitHub que se había visto comprometido recientemente, lo que demuestra que los controladores de amenazas intentaron atacar múltiples frentes en el mundo del software.

Los paquetes inactivos pueden regresar, pero es bueno tenerlo en cuenta

La situación ocurrió porque el dominio responsable del paquete estaba comprometido, luego de que la suscripción hubiera expirado recientemente. Por lo tanto, los controladores de amenazas compraron la dirección y obtuvieron acceso al código, realizando los cambios.

Al final, Ching Tok comenta que la reactivación de repositorios y paquetes luego de años sin actualizaciones puede ocurrir legítimamente, pero considerando el escenario de ciberseguridad actual, siempre es bueno estar alerta para no caer en posibles estafas.

En este contexto, el investigador de seguridad recomienda que los administradores de sistemas no realicen actualizaciones automáticas de paquetes, sino que siempre busquen información sobre las nuevas versiones antes de instalarlas en sus sistemas.

Además, en el caso específico de este paquete de Python, detalles como la notificación de actualización existe pero el número de versión del código no ha cambiado, por ejemplo, es una señal que podría indicar actividad sospechosa, con Ching Tok afirmando que si los usuarios prestan atención, los problemas se puede evitar.

Fuente: SOPHOS

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart