Paquete de PyPI troyanizado suplanta el popular aiohttp-socks
Juan Larragueta
CEO de Grupo Antea
Sonatype ha identificado un componente troyanizado bajo el nombre «aiohttp-socks5«, imitando una librería popular. Pero este paquete suelta un troyano de acceso remoto (RAT) que compromete el sistema por completo. Sigue leyendo si quieres descubrir cómo lo hicieron para distribuirlo y pasar desapercibidos durante un periodo de tiempo. El malware afecta a Windows, Linux, Android (entorno de Termux) y macOS.
AIOHTTP es una librería bastante popular entre aplicaciones en Python, es un cliente/servidor HTTP asíncrono, popular para la librería asyncio. El componente recibe más de 9 millones de descargas semanales en promedio.
Los mantenedores de AIOHTTP recomiendan a los desarrolladores que buscan hacer que AIOHTTP funcione con proxies SOCKS4/SOCKS5, usar el componente aiohttp-socks. Aprovechando esto, los ciberdelincuentes crean el paquete aiohttp-socks5, produciendo que mucha gente caiga en el engaño. Los sistemas automatizados de detección de malware de Sonatype se encontraron con el falso componente que afirma ser un, «conector proxy para aiohttp», lo cual está lejos de ser así. Aiohttp-socks5 es un software espía dirigido principalmente a usuarios de Windows de 64 bits , con algunas versiones del componente capaces de ejecutarse también en sistemas Linux, Termux y macOS.
Aiohttp-socks5 se ha descargado más de 2200 veces desde su publicación, tanto en forma de descargas iniciadas por el usuario como mediante espejos y replicas. La librería maliciosa tenía 11 versiones cuando se descubrió. La primera versión de ‘aiohttp-socks5’ (0.7.1) parece ser en gran medida benigna y toma prestado el código esqueleto del paquete legítimo aiohttp-socks. Pero las versiones posteriores son las que añade el software espía repleto de troyanos maliciosos. Una jugada maestra de los ciberdelincuentes, ofrecen la librería legítima, cuando ya tiene un volumen de descargas importante, añaden la variación maliciosa.
AIOHTTP está detrás de sitios famosos como Yandex, Skyscanner, Farmer Business Network, entre otros, y se ha utilizado para crear librerías de uso común, lo que explica por qué los ciberdelincuentes aprovecharían la oportunidad de crear versiones falsificadas de AIOHTTP.
Sonatype recoge en su blog un análisis detallado y minucioso que recomendamos leer.