Paquete de PyPI troyanizado suplanta el popular aiohttp-socks

Juan Larragueta

Juan Larragueta

CEO de Grupo Antea

Sonatype ha identificado un componente troyanizado bajo el nombre «aiohttp-socks5«, imitando una librería popular. Pero este paquete suelta un troyano de acceso remoto (RAT) que compromete el sistema por completo. Sigue leyendo si quieres descubrir cómo lo hicieron para distribuirlo y pasar desapercibidos durante un periodo de tiempo. El malware afecta a Windows, Linux, Android (entorno de Termux) y macOS.

AIOHTTP es una librería bastante popular entre aplicaciones en Python, es un cliente/servidor HTTP asíncrono, popular para la librería asyncio. El componente recibe más de 9 millones de descargas semanales en promedio.

Los mantenedores de AIOHTTP recomiendan a los desarrolladores que buscan hacer que AIOHTTP funcione con proxies SOCKS4/SOCKS5, usar el componente aiohttp-socks. Aprovechando esto, los ciberdelincuentes crean el paquete aiohttp-socks5, produciendo que mucha gente caiga en el engaño. Los sistemas automatizados de detección de malware de Sonatype se encontraron con el falso componente que afirma ser un, «conector proxy para aiohttp», lo cual está lejos de ser así. Aiohttp-socks5 es un software espía dirigido principalmente a usuarios de Windows de 64 bits , con algunas versiones del componente capaces de ejecutarse también en sistemas Linux, Termux y macOS.

Aiohttp-socks5 se ha descargado más de 2200 veces desde su publicación, tanto en forma de descargas iniciadas por el usuario como mediante espejos y replicas. La librería maliciosa tenía 11 versiones cuando se descubrió. La primera versión de ‘aiohttp-socks5’ (0.7.1) parece ser en gran medida benigna y toma prestado el código esqueleto del paquete legítimo aiohttp-socks. Pero las versiones posteriores son las que añade el software espía repleto de troyanos maliciosos. Una jugada maestra de los ciberdelincuentes, ofrecen la librería legítima, cuando ya tiene un volumen de descargas importante, añaden la variación maliciosa.

AIOHTTP está detrás de sitios famosos como Yandex, Skyscanner, Farmer Business Network, entre otros, y se ha utilizado para crear librerías de uso común, lo que explica por qué los ciberdelincuentes aprovecharían la oportunidad de crear versiones falsificadas de AIOHTTP.

Sonatype recoge en su blog un análisis detallado y minucioso que recomendamos leer.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio emplea cookies para asegurarte la mejor experiencia de navegación

Control de apps
y dispositivos

Proporcionado por software que impide que las aplicaciones o dispositivos utilizados por los empleados realicen acciones que puedan poner la red corporativa o el equipo en riesgo.

Cortafuegos

También conocido como Firewall. Sistema de seguridad para bloquear accesos no autorizados a un dispositivo de red mientras sigue permitiendo la comunicación de tu dispositivo con otros servicios autorizados.

Detección de intrusiones

Un sistema de detección de intrusiones es un programa de detección de accesos no autorizados a un dispositivo o a una red. El IDS suele tener sensores virtuales con los que el núcleo del IDS puede obtener datos externos

Filtrado de contenidos

Programa diseñado para controlar qué contenido se permite mostrar, especialmente para restringir el acceso a ciertos materiales de la Web. El filtro de contenido determina qué contenido estará disponible en una máquina o red particular

Antivirus

Programas cuyo objetivo es detectar y eliminar virus informáticos.​ Con el paso del tiempo, los antivirus han evolucionado hacia programas más avanzados que además de buscar y detectar virus informáticos consiguen bloquearlos, desinfectar archivos y prevenir una infección de estos

Antispam

Soluciones que permiten a los usuarios prevenir o acotar la entrega de spam. Estas analizan automáticamente todos los correos electrónicos entrantes enviados a un buzón de correo para este propósito.

Cifrado de correo

Permite proteger el contenido de ser leído por entidades a las que no van dirigidos los mensajes. El cifrado del correo electrónico también puede incluir la autenticación.

Voz y vídeo IP

Voz sobre protocolo de internet o Voz por protocolo de internet, también llamado voz sobre IP o VoIP, es un conjunto de recursos que hacen posible que la señal de voz viaje a través de Internet empleando el protocolo IP.

Redes distribuidas

Una red distribuida es una topología de red caracterizada por la ausencia de un centro individual o colectivo. Los nodos se vinculan unos a otros de modo que ninguno de ellos, ni siquiera un grupo estable de ellos, tiene poder de filtro sobre la información que se transmite en la red.

Protección

Contra keyloggers: software o hardware que registra las pulsaciones que se realizan en el teclado. Contra phishing: conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza. Contra intrusiones: acceso no autorizado a un sistema informático con el fin de leer sus datos internos o utilizar sus recursos

Entornos inalámbricos

Entornos inalámbricos​ seguros: a medida que crecen las redes abiertas de Wi-Fi, no solo se puede robar información personal, sino también esparcir malware a dispositivos en la red.

Gestión de trafico (L7)

Metodología para interceptar, inspeccionar y traducir el tráfico de la red, dirigiéndolo al recurso óptimo en función de políticas comerciales específicas.

Fugas de información

Protección frente a salidas no controladas de información, que hacen que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control.

Acceso remoto seguro

El acceso remoto seguro es un término amplio que alberga varias estrategias de seguridad. Puede referirse a cualquier política o solución de seguridad que evite el acceso no autorizado a su red o a sus datos delicados.

Backup continuo

Sistemas configurados para almacenar y controlar una copia continua de toda la información que se mueve entre equipos o en el propio equipo. Así, siempre hay una copia física de toda la información.

Protección navegación

Ayuda a navegar por Internet de forma segura mediante la proporción de puntuaciones de seguridad para los sitios web en su navegador y bloqueando el acceso a aquellos sitios web que se clasifique como perjudicial.

Despliegue aplicaciones

Consiste generalmente en recuperar el código del sistema de control de versiones, copiarlo a la máquina o máquinas de destino y realizar ciertas tareas como la instalación/actualización de dependencias.

Consolidación servidores

Reestructuración de la infraestructura de una organización con el fin de reducir costos (Mantenimiento, consumo de energía y administración), volviéndose el área de TI más eficiente y eficaz, mejorando el control de sus recursos mediante la optimización

Virtualizacion

Utiliza el software para imitar las características del hardware y crear un sistema informático virtual. Esto permite a las organizaciones de TI ejecutar más de un sistema virtual, y múltiples sistemas operativos y aplicaciones, en un solo servidor.

Optimización

Lograr que un sistema, ya sea software o hardware, funcione con la mayor velocidad y estabilidad posible. Una forma de lograr lo anterior podría ser, por ejemplo, eliminar programas que ya no usados en un ordenador.

Balanceo de servidores

Concepto usado en informática que se refiere a la técnica usada para compartir el trabajo a realizar entre varios procesos, ordenadores, discos u otros recursos.

Aceleración y compresión

Soluciona la congestión y la latencia de la red implantando técnicas de conservación de la banda ancha.

Autenticación

Es el proceso que debe seguir un usuario para tener acceso a los recursos de un sistema o de una red de computadoras. Este proceso implica identificación (decirle al sistema quién es) y autenticación (demostrar que el usuario es quien dice ser).