La biblioteca PyPI "aiocpa" exfiltraba claves criptográficas a través de un bot de Telegram - Masterhacks Blog

La biblioteca PyPI «aiocpa» exfiltraba claves criptográficas a través de un bot de Telegram

Los administradores del repositorio Python Package Index (PyPI) han aislado el paquete «aiocpa» tras identificar una actualización reciente que incluía código malicioso diseñado para extraer claves privadas mediante Telegram.

Este paquete, descrito como un cliente API de Crypto Pay que funciona tanto de forma síncrona como asíncrona, fue lanzado originalmente en septiembre de 2024 y acumula 12,100 descargas hasta la fecha.

El aislamiento de la biblioteca por parte de PyPI evita que nuevos usuarios puedan instalarla y bloquea cualquier modificación por parte de los desarrolladores responsables.

La firma de ciberseguridad Phylum, que reveló detalles sobre este ataque a la cadena de suministro de software la semana pasada, indicó que el creador del paquete subió la actualización maliciosa al repositorio de PyPI, mientras mantenía limpio el repositorio del proyecto en GitHub, intentando así pasar desapercibido.

No se ha confirmado aún si la modificación maliciosa fue realizada por el desarrollador original o si sus credenciales fueron comprometidas por un tercero.

El comportamiento sospechoso se detectó por primera vez en la versión 0.1.13 del paquete, que contenía cambios en el archivo «sync.py». Este archivo estaba diseñado para descodificar y ejecutar un fragmento de código ofuscado inmediatamente después de que el paquete fuera instalado.

«Este código en particular está codificado y comprimido en un proceso recursivo 50 veces», explicó Phylum, añadiendo que su propósito era capturar y enviar el token de la API de Crypto Pay de la víctima a través de un bot de Telegram.

Crypto Pay es una plataforma de pagos que utiliza Crypto Bot (@CryptoBot) para permitir a los usuarios aceptar pagos en criptomonedas y transferir fondos mediante una API.

El incidente es notable porque pone de manifiesto la importancia de analizar el código fuente de los paquetes antes de instalarlos, en lugar de confiar únicamente en la revisión de sus repositorios asociados.

«Como demuestra este caso, los atacantes pueden mantener repositorios fuente limpios mientras distribuyen paquetes maliciosos en los ecosistemas», afirmó Phylum, añadiendo que este ataque «es un recordatorio de que el historial de seguridad de un paquete no garantiza su protección futura».

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *