Los spammers inundan PyPI con enlaces a películas pirateadas y paquetes falsos

El repositorio oficial de paquetes de software de Python, PyPI, está inundado de paquetes de spam, como lo ve BleepingComputer.

Estos paquetes llevan el nombre de varias películas en un estilo que se asocia comúnmente con sitios de torrents y "warez" que alojan contenido pirateado.

Cada uno de estos paquetes es publicado por una cuenta de administrador seudónima única, lo que dificulta que PyPI elimine los paquetes y las cuentas de spam a la vez.

Índice de contenidos()

    PyPI está inundado de paquetes de spam

    PyPI está inundado de paquetes de spam que llevan el nombre de películas populares en un estilo comúnmente asociado con sitios de torrents o "warez" que proporcionan descargas pirateadas: ver- (nombre-de-la-pelicula) -2021-full-online-movie-free-hd -...

    El descubrimiento salió a la luz cuando el ingeniero de software senior de Sonatype, Adam Boesch, estaba verificando un conjunto de datos y descubrió un componente PyPI con un sonido divertido que lleva el nombre de una popular comedia televisiva.

    "Estaba mirando el conjunto de datos y me di cuenta"wandavision'que es un poco extraño para el nombre de un paquete. "

    "Mirando más de cerca, encontré ese paquete y lo busqué en PyPI porque no lo creía", dijo Boesch a BleepingComputer en una entrevista.

    paquetes de spam pypi
    El repositorio de PyPI se ha inundado de paquetes de spam desde hace unas semanas.
    Fuente: BleepingComputer

    Aunque algunos de estos paquetes tienen algunas semanas de antigüedad, BleepingComputer ha observado que los spammers continúan agregando nuevos paquetes a PyPI, hace apenas una hora.

    El recuento de resultados de búsqueda de "10,000+" puede ser inexacto, ya que observamos que el número real de paquetes de spam mostrados en el repositorio de PyPI era mucho menor.

    La página web de estos paquetes falsos contiene palabras clave de spam y enlaces a sitios de transmisión de películas, aunque de dudosa legitimidad y legalidad, como:

    https: // besflix[.]it / movie / XXXXX / profile.html

    A continuación se muestra un ejemplo de los muchos paquetes lanzados hace aproximadamente una hora en el momento de escribir este artículo:

    Paquetes de spam de PyPI lanzados hoy
    Los spammers continúan inundando PyPI hoy, en el momento de escribir este artículo.
    Fuente: BleepingComputer

    BleepingComputer también señaló que cada uno de estos paquetes fue publicado por una cuenta de autor (mantenedor) separada usando un seudónimo, lo que probablemente dificultaría que los administradores de PyPI eliminen estos paquetes.

    En febrero de este año, PyPI se inundó con keygens falsos "Discord", "Google" y "Roblox" en un ataque masivo de spam, según lo informado por ZDNet.

    En ese momento, Ewa Jodlowska, directora ejecutiva de la Python Software Foundation le dijo a ZDNet que los administradores de PyPI estaban trabajando para abordar el ataque de spam, sin embargo, por la naturaleza de pypi.org, cualquiera podía publicar en el repositorio y tales eventos eran comunes.

    Los paquetes contienen código de componentes legítimos de PyPI

    Además de contener palabras clave de spam y enlaces a sitios de transmisión de cuasi-video, estos paquetes contienen archivos de código funcional e información de autor extraída de paquetes legítimos de PyPI.

    Por ejemplo, BleepingComputer observó que el paquete de spam "watch-army-of-the-dead-2021-full-online-movie-free-hd-quality" contenía información sobre el autor y algún código del paquete PyPI legítimo ",servidor de idioma jedi. "

    dentro de los paquetes de spam de PyPI
    Dentro de los paquetes de spam de PyPI hay código prestado de componentes reales
    Fuente: BleepingComputer

    Como informó anteriormente BleepingComputer, los atacantes han combinado el código de paquetes legítimos con paquetes falsos o maliciosos para enmascarar sus pasos y hacer que la detección de estos paquetes sea un poco más desafiante.

    "No es raro en otros ecosistemas como npm, donde hay millones de paquetes. Afortunadamente, paquetes como estos son bastante fáciles de detectar y evitar".

    "Siempre es una buena idea investigar un paquete antes de usarlo. Si algo no parece funcionar, hay una razón", sonrió Boesch.

    En los últimos meses, se han intensificado los ataques a ecosistemas de código abierto como npm, RubyGems y PyPI.

    Los escritores de amenazas fueron atrapados inundando los repositorios de software con malware, imitaciones maliciosas de confusión de dependencia o simplemente paquetes de vigilante para difundir su mensaje.

    Como tal, asegurar estos repositorios se ha convertido en una carrera de topo entre los actores de amenazas y los mantenedores de repositorios.

    BleepingComputer se ha puesto en contacto con PyPI para obtener comentarios antes de la publicación y estamos esperando su respuesta.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir