PyPI, el repositorio oficial de software para Python, se ha abarrotado de paquetes de spam. Esta información fue revelada por Bleeping Computer, ya que encontraron una cantidad significativa de resultados fraudulentos al realizar búsquedas dentro de la plataforma.
Por muy segura que pueda parecer, ninguna compañía está exenta de sufrir ciberataques. Actualmente, se ha producido un gran incremento en la tasa de este tipo de prácticas. Desgraciadamente, Python, el lenguaje de moda, tampoco puede escapar de las garras de los piratas informáticos.
Y es que su repositorio oficial se ha visto plagado de paquetes falsos y enlaces a contenido de dudosa legalidad. Esto se debe, sobre todo, a que cualquiera puede subir archivos fácilmente en este tipo de plataformas de código abierto, lo que también incluye a aquellos con malas intenciones.
El spam de PyPI, vinculado a plataformas pirata
Estos paquetes y enlaces siguen una nomenclatura similar a la de los archivos de formato audiovisual que se pueden descargar en algunos sitios piratas o por medio de torrents. Generalmente, sus nombres siempre hacen referencia al título de una película o serie y el año, seguido por los términos “gratis” o “online”, incluidos en la mayoría de contenido de este tipo.
En Bleeping Computer, por ejemplo, descubrieron un paquete denominado “watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”. Lo más curioso es que ese paquete incluía algo de código auténtico de PyPI de información de su autor, concretamente, referente al servidor de lenguaje jedi.
Lo más posible es que esa táctica responda a una estrategia de camuflaje por parte de los responsables. La combinación de datos auténticos y spam hace que el software malicioso sea más difícil de detectar y, por tanto, logré permanecer en el repositorio durante más tiempo.
«WandaVision» fue el primer caso descubierto
Aunque el portal de tecnología aportó información interesante sobre este hecho, fue Adam Boesch, ingeniero de software senior en Sonatype, fue el primero en realizar el descubrimiento. Todo empezó cuando, al buscar componentes de Pypi, encontró uno llamado “WandaVision”.
El título le llamó la atención porque no estaba relacionado con ningún paquete para Python, sino con la popular serie de televisión de Disney+. De esta forma, se averiguó que no era un caso único, sino que el repositorio estaba repleto de paquetes y enlaces similares.
«Estaba mirando el conjunto de datos y encontré ‘ wandavision ‘, que es un poco extraño para el nombre de un paquete. Mirando más de cerca, encontré ese paquete y lo busqué en PyPI porque no lo creía. No es raro en otros ecosistemas como npm , donde tienes millones de paquetes. Por suerte, paquetes como estos son bastante fáciles de detectar y evitar «, explicó Adam Boesch.
La mayoría de los paquetes falsos ya han sido eliminados
En el momento de escribir este artículo, no hemos sido capaces de encontrar ningún resultado de este tipo en el repositorio, lo que parece indicar que el equipo de PyPI ya se ha encargado de eliminar buena parte de esos paquetes falsos. No obstante, no se puede descartar que los piratas informáticos sigan intentando agregar ese tipo de contenido en el sitio web.
Aunque, en un principio, esos paquetes no parecen demasiado peligrosos, podrían esconder malware mucho más nocivo. Puede que el spam sea el problema de seguridad menos grave para algunos, pero también puede ser el detonante de otros más alarmantes como el phishing y el ransomware. De hecho, recientemente vimos cómo los calendarios de los iPhone podían llenarse de spam con la intención de estafar a sus víctimas.
Si algo están demostrando los ciberdelincuentes es que ninguna compañía es invencible. Ya hemos visto como los ataques a infraestructuras críticas, como el reciente caso de Colonial Pipeline, pueden poner en jaque a todo un país.
Vector de Tecnología creado por vectorjuice – www.freepik.es
