AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Paquete malicioso en PyPI suplanta a PyTorch Lightning y roba credenciales de navegadores y servicios cloud

admin

Introducción

En un nuevo episodio de la creciente ola de ataques a la cadena de suministro de software, investigadores de ciberseguridad han identificado una versión maliciosa del popular paquete PyTorch Lightning distribuida a través de PyPI (Python Package Index). Este paquete fraudulento introduce un payload especializado en la exfiltración de credenciales, enfocado en obtener información sensible de navegadores, archivos de entorno y servicios en la nube, y pone en riesgo tanto a desarrolladores como a entornos empresariales que dependen de frameworks de machine learning en Python.

Contexto del Incidente o Vulnerabilidad

El ataque fue detectado tras la aparición de un paquete publicado en PyPI bajo el nombre «pytorch-lightning» (con ligeras modificaciones en la nomenclatura respecto al original), una táctica clásica de typosquatting. Este método explota errores tipográficos comunes de los usuarios al instalar paquetes mediante herramientas como pip. PyTorch Lightning es un framework ampliamente utilizado para desarrollar modelos de deep learning, por lo que la presencia de una versión maliciosa representa un riesgo significativo para la comunidad de desarrolladores, ingenieros de datos y equipos de inteligencia artificial.

Este caso se suma a incidentes recientes que han afectado a PyPI y otros repositorios de software de código abierto, donde la distribución de paquetes manipulados con cargas útiles maliciosas se ha convertido en una amenaza persistente. Según datos de Sonatype y ReversingLabs, los incidentes de typosquatting en PyPI aumentaron más de un 70% en el último año, evidenciando la creciente sofisticación y rentabilidad de este vector de ataque.

Detalles Técnicos

El paquete malicioso, identificado como «pytorch-lightning» (en minúsculas y con posibles variantes de nombre), contiene un script que, al instalarse, ejecuta código diseñado para recolectar y exfiltrar credenciales. No se trata de una vulnerabilidad específica en el framework original, sino de un caso de suplantación a nivel de repositorio.

– **CVE**: Hasta el momento, este incidente no tiene asignado un identificador CVE, ya que no explota una vulnerabilidad inherente al código de PyTorch Lightning, sino que implica la distribución de un paquete fraudulento.
– **Vectores de ataque**: El vector principal es el engaño en la instalación del paquete (typosquatting). Una vez instalado, el script ejecuta comandos en segundo plano que buscan y recopilan credenciales almacenadas en navegadores como Chrome y Firefox, archivos .env (donde habitualmente se almacenan claves y tokens de API), así como configuraciones de proveedores cloud (AWS, GCP, Azure).
– **TTP (MITRE ATT&CK)**:
– T1078 (Valid Accounts)
– T1555 (Credentials from Password Stores)
– T1071.001 (Application Layer Protocol: Web Protocols)
– T1027 (Obfuscated Files or Information)
– **IoCs**: Hashes SHA256 del paquete malicioso, dominios e IPs de exfiltración, rutas de archivo modificadas y artefactos sospechosos en logs de instalación.

El payload utiliza técnicas de evasión, como ofuscación de código y generación dinámica de rutas de exfiltración, y puede emplear frameworks de automatización como Selenium para acceder a datos de los navegadores. Se han detectado variantes que emplean módulos de requests para la comunicación C2, y en algunos casos se ha observado el uso de herramientas como Metasploit para la fase de explotación.

Impacto y Riesgos

El impacto de la instalación involuntaria de este paquete abarca:

– Robo de credenciales de acceso a servicios cloud y repositorios privados (Github, AWS CLI, GCP Auth).
– Filtración de variables de entorno con secretos críticos (tokens de API, contraseñas de bases de datos).
– Compromiso de cuentas corporativas y personales.
– Riesgo de escalada de privilegios y movimientos laterales en entornos empresariales.
– Potencial violación del GDPR y NIS2 debido a la fuga de datos personales y confidenciales.
– Implicaciones económicas asociadas a la exposición de recursos cloud y posibles ataques de ransomware o extorsión.

Según estimaciones recientes, más del 30% de los desarrolladores en proyectos de IA y datos utilizan PyTorch Lightning, lo que amplifica el alcance potencial del ataque. Los incidentes de exfiltración de credenciales suponen un coste medio de 4,35 millones de dólares por brecha según el informe de IBM 2023.

Medidas de Mitigación y Recomendaciones

Las organizaciones y profesionales deben considerar las siguientes acciones inmediatas:

– Revisar los logs de instalación de paquetes Python en sistemas de desarrollo y producción en busca de referencias a «pytorch-lightning» y variantes sospechosas.
– Implementar herramientas de escaneo de dependencias y soluciones de software composition analysis (SCA) para identificar paquetes maliciosos.
– Configurar entornos virtuales y políticas de allowlist/denylist para la instalación de dependencias.
– Monitorizar tráfico saliente anómalo hacia dominios no autorizados desde estaciones de desarrollo.
– Rotar credenciales y secretos almacenados en sistemas afectados.
– Mantener los sistemas SIEM y EDR actualizados con los IoCs relevantes del incidente.
– Formar a los equipos técnicos sobre riesgos de typosquatting y mejores prácticas de higiene en la gestión de paquetes.

Opinión de Expertos

Expertos del sector, como Jake Williams, fundador de Rendition Infosec, subrayan que “los ataques de typosquatting seguirán creciendo mientras los repositorios abiertos no refuercen sus controles de publicación y verificación de identidad”. Por su parte, Elissa Redmiles, investigadora en ciberseguridad, alerta sobre la necesidad de integrar análisis automáticos de comportamiento en los repositorios para identificar patrones sospechosos en paquetes recién subidos.

Implicaciones para Empresas y Usuarios

El incidente subraya la importancia de incorporar la gestión de la cadena de suministro de software como parte integral de la estrategia de ciberseguridad corporativa. Las empresas que delegan la instalación y actualización de dependencias a través de scripts automatizados se encuentran especialmente expuestas. Además, la fuga de credenciales podría desencadenar investigaciones regulatorias bajo el marco del GDPR y NIS2, con sanciones económicas significativas.

Conclusiones

Este ataque demuestra la sofisticación y el alcance de las amenazas actuales contra la cadena de suministro de software. La confianza en repositorios abiertos como PyPI requiere una vigilancia activa y un enfoque zero trust en la gestión de dependencias. Los equipos de seguridad deben reforzar los controles, formar a los desarrolladores y automatizar la detección de anomalías para minimizar el riesgo de incidentes similares en el futuro.

(Fuente: www.bleepingcomputer.com)