El Índice de paquetes de Python (PYPI) ha implementado una prohibición inmediata de los registros de dominio de correo electrónico de INBOX.RU después de una sofisticada campaña de spam que resultó en más de 1,500 cargas de proyectos falsos en un período de un mes.
El ataque, que comenzó el 9 de junio de 2025, implicó la creación de más de 250 cuentas de usuarios que inundaron sistemáticamente el repositorio con paquetes vacíos diseñados para explotar las vulnerabilidades de confusión de paquetes.
La campaña demostró un enfoque metódico para el abuso de repositorio a gran escala, con los atacantes que primero establecen cuentas de aparición legítima completa con autenticación de dos factores y tokens API antes de lanzar su ofensiva de carga.
Los proyectos falsos no contenían código real, pero fueron nombrados estratégicamente para interceptar las instalaciones de paquetes legítimos, una técnica conocida como “slopsquatting”.
Este enfoque difiere de la distribución tradicional de malware, en lugar de centrarse en crear confusión y preparar la infraestructura para futuros ataques.
Analistas de PYPI identificado La actividad maliciosa el 8 de julio de 2025, después de que un usuario informó que un modelo de idioma IA (soneto 4) había recomendado instalar un paquete inexistente.
Este descubrimiento provocó una investigación inmediata, revelando el alcance completo de la campaña coordinada que había estado operando sin ser detectada durante casi un mes.
Metodología de ataque y análisis de la línea de tiempo
Los atacantes emplearon un enfoque sofisticado de fases múltiples que comenzó con un cuidadoso establecimiento de cuentas y culminó con volúmenes de carga masivos.
El reconocimiento inicial comenzó el 9 de junio con la creación de una sola cuenta totalmente verificada que incluye la configuración de autenticación de dos factores.
La campaña luego se intensificó rápidamente, con 46 cuentas creadas dentro de las tres horas del 11 de junio, seguidas de 207 cuentas establecidas en solo cuatro horas el 24 de junio.
La fase de carga comenzó el 26 de junio con nueve proyectos iniciales, construyendo un crescendo el 30 de junio cuando se cargaron 740 paquetes falsos en un solo día.
Los proyectos se dirigen a los puntos de entrada de la interfaz de la línea de comandos, explotando el hecho de que estas interfaces de ejecución no necesitan coincidir con el nombre real del proyecto PYPI, creando oportunidades para ataques de confusión de paquetes.
Los administradores de PYPI respondieron rápidamente al descubrimiento, eliminando los 1.525 proyectos maliciosos, deshabilitando las cuentas asociadas e implementando restricciones a nivel de dominio en los registros de Box.ru.
Los mantenedores del repositorio enfatizaron que, si bien esta acción era necesaria para la seguridad, permanecen abiertos a revertir la decisión si el proveedor de correo electrónico demuestra mejores medidas de prevención de abuso.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
