Skip to main content
Hashnodecodeaseguro

Command Palette

Search for a command to run...

PyStoreRAT

[MAL-2025-1024] - Malware en el Ecosistema PyPI

Updated
2 min read
PyStoreRAT
C
Codea Seguro

Hola, soy Adara, una chica a la que le gusta compartir conocimientos y aprender. La iniciativa de Codea Seguro surgió a partir de la necesidad que veo en mi país de residencia, Argentina, de concientizar acerca de la seguridad de la información, con un enfoque técnico y también orientado a usuarios finales. Además, desde Codea Seguro compartimos tips y buenas prácticas aplicadas al desarrollo de software y al diseño de arquitectura. ¡Espero poder aportar, de algún modo, a tus conocimientos. Gracias!

Part of seriesVulnerabilidades

ALERT

PyStoreRAT no es un error de código accidental (CVE), sino un malware diseñado intencionalmente (RAT - Remote Access Trojan) que se distribuyó a través de paquetes maliciosos en PyPI mediante typosquatting. Es una amenaza crítica para repositorios de trabajo como GitHub y servidores CI/CD.

Que significa PyStoreRAT

Es el nombre que le pusieron los investigadores a uno de estos malwares:

  • Py → porque el malware esta parcial o totalmente codificado con Python.

  • Store → hace referencia a que no son stores oficiales, sino que se disfrazan como herramientas utiles.

  • RAT → es el tipo de malware en este caso Remote Access Trojan.

Detalles Técnicos

  • ID: MAL-2025-1024 (Registro en bases de datos de malware de cadena de suministro).

  • Tipo: Troyano de Acceso Remoto (RAT) / Infostealer.

  • Posible ataque: Typosquatting (nombres de paquetes similares a populares como requests-py, boto3-session, etc) e inyección de dependencias.

  • Mecanismo: Al clonar un repositorio disfrazado con este malware, instalar un paquete, un script setup.py oculto descarga un binario ofuscado que establece una conexión persistente vía C2 (Command & Control) utilizando el protocolo de Microsoft Store como túnel para evadir firewalls.

Que hace el malware

  • Roba credenciales, como archivos secretos .env, tokens, llaves SSH, sesiones de navegadores.

  • Persistencia: Se inyecta en el proceso de inicio del sistema operativo (Windows/Linux).

  • Captura de pantalla constante enviada al atacante.

Tecnologías / Entornos Afectados

  • Desarrolladores Python: Cualquier entorno que haya instalado paquetes maliciosos identificados.

  • Pip: Versiones de pip que no verifiquen hashes de paquetes.

  • Entornos CI/CD: Pipelines de GitHub Actions o GitLab que descarguen dependencias sin bloquear versiones específicas.

IMPORTANTE

A diferencia de una vulnerabilidad normal, eliminar el paquete malicioso no es suficiente para limpiar el sistema, ya que el malware instala una "puerta trasera" independiente del entorno de Python.

Mitigación

Si sospechas que fuiste infectado y si usas principalmente python, o descargaste un paquete sospechoso, segui estos pasos:

  1. Verifica ejecuta el siguiente comando pip listy analiza si hay algun paquete con nombre raro o sospechoso que contenga algun script malicioso.

  2. Cambia las claves secretas y privadas que tenias en tu entorno.

TIP

Para prevenir futuros ataques de este tipo, utiliza siempre archivos requirements.txt con hashes verificados: pip install --require-hashes -r requirements.txt.

Documentación Oficial y Referencias

#vulnerability#python#ciberseguridad#github

Comments

Join the discussion

No comments yet. Be the first to comment.

Vulnerabilidades

Part 2 of 3

Te cuento acerca de diferentes vulnerabilidades, como funcionan, como mitigar riesgos y prevenirlas.

Up next

React2Shell [CVE-2025-55182]

RCE Crítico en React Server Components

More from this blog

C

codeaseguro

6 posts