Un paquete PyPI inactivo fue comprometido para propagar el malware Nova Sentinel
Un paquete PyPI inactivo disponible en el repositorio de paquetes ha sido comprometido para propagar el malware Nova Sentinel
El repositorio de PyPI advierte a los mantenedores del proyecto Python sobre ataques de phishing en curso
Un paquete inactivo que estaba disponible en el Repositorio del Índice de Paquetes de Python (PyPI) fue actualizado después de casi dos años para difundir un malware de robo de información llamado Nova Sentinel.
El paquete en cuestión, denominado django-log-tracker, se subió por primera vez a PyPI en abril de 2022, según la empresa de seguridad de la cadena de suministro de software Phylum, que identificó una actualización inusual en la biblioteca el 21 de febrero de 2024.
A pesar de que el repositorio enlazado en GitHub no ha tenido modificaciones desde el 10 de abril de 2022, la introducción de una actualización maliciosa sugiere una probable intrusión de la cuenta de PyPI perteneciente al desarrollador.
Hasta la fecha, django-log-tracker ha sido descargado 3,866 veces, siendo que la versión falsificada (1.0.4) se descargó 107 veces en la fecha de su publicación. El paquete ya no está disponible para su descarga desde PyPI.
«En la actualización maliciosa, el atacante eliminó la mayoría del contenido original del paquete, dejando únicamente un archivo init.py y example.py», informó la compañía.
Los cambios, que son sencillos y autoexplicativos, implican la recuperación de un archivo ejecutable llamado «Updater_1.4.4_x64.exe» desde un servidor remoto («45.88.180[.]54»), seguido por su ejecución mediante la función os.startfile() de Python.
El binario, por su parte, está integrado con Nova Sentinel, un malware de robo que fue documentado por Sekoia en noviembre de 2023 como una amenaza distribuida en forma de aplicaciones Electron fraudulentas en sitios web ficticios que ofrecen descargas de videojuegos.
«Lo que resulta intrigante en este caso en particular […] es que el vector de ataque parece haber sido un intento de ataque a la cadena de suministro mediante el compromiso de la cuenta de PyPI», destacó Phylum.
«Si este paquete hubiera sido muy popular, cualquier proyecto que tuviera este paquete enlistado como una dependencia sin una versión específica o con una versión flexible especificada en su archivo de dependencias habría descargado la última versión maliciosa de este paquete».
