Versión falsa python3
Han conseguido colar dos librerías maliciosas en el repositorio oficial de Python que robaban claves GPG y SSH. Un desarrollador encontró dos librerías sospechosas buscando en PyPI. Una de ellas llevaba un año y la otra unos días. Simulaban ser las librerías "datetutil" y "jellyfish". Simplemente les había cambiado el nombre con "python3-dateutil" y "jeIlifish". El código malicioso descargaba código codificado desde un repositorio GitLab (codificado a su vez con la dirección http://bitly.com/25VZxUbmkr).
Lo decodificaba y resultaba ser código Python a su vez que exfiltraba claves GPG y SSH del sistema a una dirección: http://68.183.212.246:32258
Lo decodificaba y resultaba ser código Python a su vez que exfiltraba claves GPG y SSH del sistema a una dirección: http://68.183.212.246:32258
Curiosamente, el código malicioso se encontraba en la supuesta librería jellyfish falsa, y dateutil, más reciente, simplemente la llamaba. Ya han retirado ambas librerías.
Si nos fijamos en el histórico de visitas de https://bitly.com/25VZxUbmkr+, se comprueba que todas las visitas se han producido este mes (casi 800) por lo que el impacto de este ataque puede haber sido bajo, aunque las estadísticas de los paquetes (antes de ser retirados) hablaban de pocos cientos de descargas.
Más información: https://github.com/dateutil/dateutil/issues/984
No hay comentarios:
Publicar un comentario
Gracias por su comentario,