La compañía de seguridad en cadena de suministro Phylum informó que el paquete Django-log-tracker aloja un malware ladrón de información llamado Nova Sentinel. Este paquete inactivo durante dos años fue actualizado recientemente y está disponible en PyPI, el repositorio Python Package Index. La detección de una actualización anómala en la biblioteca se reportó el 21 de febrero de 2024, lo que indica un probable compromiso de la cuenta PyPI del desarrollador.
Desde su lanzamiento, Django-log-tracker ha sido descargado 3.866 veces, pero la versión maliciosa, 1.0.4, fue descargada 107 veces antes de que fuera eliminada de PyPI.
El paquete fue alterado para incluir un archivo __init__.py y example.py, junto con un ejecutable llamado «Updater_1.4.4_x64.exe» que fue descargado desde un servidor remoto llamado «45.88.180[.]54» y ejecutado mediante la función Python os.startfile (). El binario incrustado con Nova Sentinel roba información personal y fue identificado por primera vez por Sekoia en noviembre de 2023.
Phylum resaltó la importancia de la seguridad del suministro de archivos, ya que cualquier proyecto que tenga Django-log-tracker listado como dependencia habría descargado la versión maliciosa más reciente del paquete sin especificar una versión específica o flexible.
Este caso subraya la necesidad de seguir mejores prácticas de seguridad, incluso en paquetes inactivos durante largos períodos de tiempo, y de tener cuidado al descargar paquetes de repositorios no confiables. Asegúrate de mantener tus paquetes actualizados y de verificar regularmente su seguridad.
Vía The Hacker News
