Investigadores reportan que ctx Python, uno de los paquetes más populares del lenguaje de programación Python, habría sido comprometido por actores de amenazas para la inyección de un backdoor imposible de detectar para los usuarios.
Según se reportó apenas hace unas horas, el paquete recibió una versión de actualización identificada como v0.2.6, algo que llamó la atención debido a que ctx Python no había recibido actualizaciones en 8 años.
Después de que se reflejara la actualización en el repositorio de GitHub, algunos investigadores comenzaron a analizar el código, encontrando algunas características interesantes:
Según los expertos, el código está diseñado de modo que, al crear un diccionario, se envían todas sus variables de entorno a una URL de la aplicación Heroku bajo control de los atacantes. Esta es una clara señal de que la versión actual del paquete ha sido manipulada con fines maliciosos y no debería ser utilizada.
Otras versiones de una bifurcación ‘phpass’, publicadas en el repositorio Packagist, también fueron manipuladas para agregar este código malicioso. Según se ha reportado, PHPass ha sido descargado unas 2.5 millones de veces.
Según el investigador de seguridad Somdev Sangwan, la inserción de este backdoor podría tener como fin la extracción de credenciales de acceso para Amazon Web Services (AWS).
La versión maliciosa fue lanzada el 14 de mayo, por lo que los usuarios que instalaron el paquete antes de esa fecha están empleando la versión original (v0.1.2), y no se verán afectados por este problema. Por otra parte, cualquier instalación de ctx Python posterior al 14 de mayo podría incluir el código malicioso.
Sobre el método de ataque, especialistas mencionan que, aparentemente, el nombre de dominio de los mantenedores originales de ctx Python expiró, lo que habría permitido a los atacantes registrarlo de nuevo y tomar control de este paquete, agregando la carga maliciosa para su posterior distribución.
La página oficial del proyecto ctx Python en PyPI ha sido eliminada, mostrando el error ‘Not Found’ a los visitantes.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
