Un ingeniero de seguridad de software ha identificado 12 bibliotecas subidas al sitio oficial de Python (Python Package Index o PyPI), que contiene código que bien podría ser malicioso. Los 12 paquetes se descubrieron en dos escaneos por separado hechos por un ingeniero de seguridad. Todos los paquetes se pusieron juntos y trabajan usando patrones similares. Sus creadores copiaron el código de paquetes populares y crearon una biblioteca nueva, pero con un nombre modificado ligeramente. Por ejemplo, cuatro paquetes: diango, djago, dajngo, djanga, son las versiones maliciosas de Django, el nombre de un entorno muy popular para Python.
Stephen Hawking predice “superhumanos” y extinción en último libro antes de morir
Quienes están detrás de estos paquetes añadieron código malicioso a estas nuevas versiones, haciendo que sean totalmente funcionales y más aún, específicamente usando los archivos setup.py. Estos archivos contienen un conjunto de instrucciones que usan los instaladores de las bibliotecas de Python, como “pip”, que se ejecutan automáticamente cuando se descargan y ponen un nuevo paquete en el proyecto que se esté usando en Python.

La naturaleza del código extra de estos paquetes permitía operaciones maliciosas en variadas situaciones. El ingeniero de seguridad, cuyo nombre clave es Berthus, descubrió un primer paquete de 11 paquetes maliciosos el 13 de octubre y otro paquete malicioso el 21 de octubre. El primer conjunto de bibliotecas maliciosas buscaría recolectar datos sobre cada entorno infectado, obteniendo persistencia en el boot (arranque), o bien, la posibilidad de abrir un shell en una estación remota.
Aparentemente la docena de …