Llenan de spam Pypi, el repositorio oficial de paquetes de software de Python

El repositorio de paquetes de software oficial de Python, Pypi, ha sido atacado por ciberdelincuentes que lo han llenado de paquetes de software falsos y enlaces a películas pirateadas. Así lo aseguran desde Bleeping Computer en un informe en el que también ofrecen detalles de lo que está pasando en el repositorio.

Al parecer, el spam con el que los atacantes están llenando el repositorio se ha subido a él en forma de paquetes emplea un estilo de nombrado que se suele asociar habitualmente con los torrents y otros formatos de contenido pirateado que se publica online. En este tipo de nombrado, el nombre de cada paquete contiene el título de una película, el año en curso y palabras como «online y «free», tal como están nombrados los ficheros subidos al repositorio.

El ataque fue descubierto por un ingeniero de software de Sonatype, Adam Boesch, que se dio cuenta de que en el repositorio había un componente de Pypi cuyo nombre coincidía con el de una popular serie de televisión. Según Boesch, estaba echando un vistazo al conjunto de datos y se dio cuenta de que había un paquete con el nombre de wandavision, una serie de televisión. Este ingeniero no se creía que fuese un componente para Python y echó un vistazo más a fondo.

La impresión inicial de Boesch derivó en la localización de archivos de spam, enlaces a vídeos e incluso paquetes con código funcional e información sobre sus autores robada de paquetes de software legítimos. Por su parte, desde Bleeping Computer, al investigar en profundidad, incluso localizaron un paquete de spam titulado «watch-army-of-the-dead-2021-full-online-movie-free-hd-quality». al investigar su contenido, descubrieron que contenía código funcionar e información del autor robada de paquetes de software de Python. Además, también incorporaba algo de código del paquete de Pypi «jedi-language-server».

En el repositorio había varios paquetes similares, pero parece ser que los encargados del mantenimiento del Índice de paquetes de Python del repositorio ya han hecho una limpieza a fondo y han eliminado la mayoría de los archivos de spam que contenía. No obstante, los desarrolladores de Python que estén buscando paquetes nuevos en él deben tener cuidado si deciden descargar algún paquete de spam con nombre sospechoso, ya que podría incluso contener malware o trazas de código dañino.