Un paquete inactivo disponible en el repositorio Python Package Index (PyPI) fue actualizado casi después de dos años para propagar un malware de robo de información llamado Nova Sentinel.
El paquete, llamado django-log-tracker, fue publicado por primera vez en PyPI en abril de 2022, según la firma de seguridad de la cadena de suministro de software Phylum, que detectó una actualización anómala de la biblioteca el 21 de febrero de 2024.
Aunque el repositorio de GitHub vinculado no ha sido actualizado desde el 10 de abril de 2022, la introducción de una actualización maliciosa sugiere un probable compromiso de la cuenta de PyPI perteneciente al desarrollador.
Django-log-tracker ha sido descargado 3.866 veces hasta la fecha, con la versión falsa (1.0.4) descargada 107 veces en la fecha en que se publicó. El paquete ya no está disponible para su descarga desde PyPI.
“En la actualización maliciosa, el atacante eliminó la mayor parte del contenido original del paquete, dejando solo un archivo __init__.py y example.py detrás”, dijo la compañía.
Los cambios, simples y autoexplicativos, implican obtener un ejecutable llamado “Updater_1.4.4_x64.exe” desde un servidor remoto (“45.88.180[.]54”), seguido de su lanzamiento utilizando la función os.startfile() de Python.
El binario, por su parte, viene incrustado con Nova Sentinel, un malware de robo que fue documentado por primera vez por Sekoia en noviembre de 2023 como distribuido en forma de aplicaciones Electron falsas en sitios falsos que ofrecen descargas de videojuegos.
“Lo interesante de este caso particular es que el vector de ataque parecía ser un intento de ataque de cadena de suministro a través de una cuenta de PyPI comprometida”, dijo Phylum.
“Si este paquete hubiera sido muy popular, cualquier proyecto con este paquete listado como una dependencia sin una versión especificada o con una versión flexible especificada en su archivo de dependencia habría descargado la versión maliciosa más reciente de este paquete”.