• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Paquetes de Python utilizados para minar criptomonedas

Paquetes de Python utilizados para minar criptomonedas

25 junio, 2021 Por Javier Aranda Deja un comentario

Múltiples paquetes en el repositorio PyPI de Python se utilizaban para convertir los equipos de desarrolladores en máquinas de minar criptomonedas.

Ax Sharma, investigador en la empresa Sonatype, ha publicado un informe mostrando el comportamiento de varios paquetes maliciosos de Python utilizados para minar criptomonedas. Un usuario llamado nedog123 se encargó de publicarlos en el Python Package Index (PyPI). Mediante «typosquatting», una técnica consistente en modificar ligeramente una cadena para suplantar un nombre legítimo a simple vista, engañaban a desarrolladores para descargar los paquetes fraudulentos. En este caso dichos paquetes aludían al proyecto matplotlib así como a librerías de aprendizaje automático y habían acumulado más de 5000 descargas en total. A continuación se listan los paquetes maliciosos:

  • maratlib
  • maratlib1
  • matplatlib-plus
  • mllearnlib
  • mplatlib
  • learninglib

Detalles sobre el código malicioso

Para cada paquete, el código malicioso se incluye en el fichero setup.py que es un script de construcción que se ejecuta durante la instalación de un paquete.

Ax Sharma, en su informe
Paquete malicioso «learninglib» con dependencia de «maratlib». Fuente: Sonatype

Mientras analizaba el paquete Python maratlib, Sharma descubrió que durante la instalación se descargaba un script de Bash (aza2.sh) desde un repositorio de GitHub, que ejecutaba un criptominero llamado «Ubqminer» en la máquina comprometida. Además, el investigador advierte de que el autor del malware reemplazó la dirección del monedero Kryptex por defecto para minar la criptomoneda Ubiq (UBQ).

Confirmación de código con cambio de clave de monedero. Fuente: GitHub

También existía otra variante en la que se descargaba otro script que incluía un programa distinto de criptominado llamado T-Rex, que utiliza recursos de GPU.

El uso de repositorios públicos de paquetes para distribuir malware de minado de criptomonedas ya ha sido comentado en anteriores una-al-día, y es una realidad que cada vez más desarrolladores son víctimas de ataques en cadena de suministro de software, por lo que hay que tener especial precaución en las dependencias externas durante el desarrollo de un proyecto.

Más información:
Malicious PyPI packages hijack dev devices to mine cryptocurrency
Sonatype Catches New PyPI Cryptomining Malware

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Malware en Android

Sinfonier

Publicado en: General, Malware Etiquetado como: Criptomonedas, cryptominado, pypi, python, typosquatting

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Reacción ante ciberataques... en vacaciones

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...