Un actor de amenazas ha subido al repositorio PyPI (Python Package Index) tres paquetes maliciosos que contienen código para lanzar malware de robo de información en los sistemas de los desarrolladores.
PyPI es el repositorio más utilizado para los paquetes de Python que los desarrolladores de software utilizan para obtener los componentes básicos de sus proyectos. Desgraciadamente, su popularidad lo convierte en un atractivo para las amenazas dirigidas a los desarrolladores o a sus proyectos. Normalmente, los paquetes maliciosos se suben disfrazados de algo útil o imitan proyectos de renombre modificando su nombre.
Los paquetes maliciosos, descubiertos por Fortinet, fueron subidos por el mismo autor llamado 'Lolip0p' entre el 7 y el 12 de enero de 2023. Sus nombres son 'colorslib', 'httpslib' y 'libhttps'. Los tres han sido reportados y eliminados de PyPI.
PyPI no dispone de los recursos necesarios para analizar todos los paquetes que se suben, por lo que depende de los informes de los usuarios para encontrar y eliminar los archivos maliciosos. Sin embargo, para cuando se eliminan, los paquetes maliciosos suelen contar con varios cientos de descargas.
Nueva campaña
A diferencia de las cargas maliciosas típicas en PyPI, el trío descubierto por Fortinet incluye descripciones completas, lo que ayuda a engañar a los desarrolladores haciéndoles creer que se trata de recursos auténticos.
En este caso, los nombres de los paquetes no imitan a otros proyectos, sino que buscan convencer de que vienen con código fiable y sin riesgos.
Según el servicio de recuento de paquetes PyPI 'pepy.tech', las tres entradas maliciosas tenían los siguientes recuentos de descargas en el momento en que fueron eliminadas el 14 de enero.
- Colorslib - 248 descargas
- httpslib - 233 descargas
- libhttps - 68 descargas
Aunque el número de descargas pueda parecer pequeño, el impacto potencial de estas infecciones como parte de una cadena de suministro las hace significativas.
Según el portal bleepingComputer Los tres paquetes contienen el mismo archivo malicioso "setup.py" que intenta ejecutar PowerShell y obtiene un ejecutable de una URL sospechosa, llamada "Oxyz.exe". Este malware roba información del navegador.
Un segundo archivo está marcado como malicioso por algunos proveedores en VirusTotal. Fortinet dice que 'update.exe' deja caer varios archivos adicionales en el host, uno de los cuales ('SearchProtocolHost.exe'), que está marcado como malicioso por algunos proveedores de AV como un ladrón de información.
Mirando un poco más allá, BleepingComputer encontró que al menos uno de los procesos caídos se utiliza para recoger tokens Discord, lo que sugiere que es parte de una campaña general de malware de robo de información utilizada para robar datos del navegador, tokens de autenticación y otros datos de un dispositivo infectado.
Los índices de detección de los tres ejecutables utilizados en este ataque son bastante bajos, oscilando entre el 4,5% y el 13,5%, lo que permite a los archivos maliciosos eludir la detección de múltiples agentes de seguridad que puedan estar ejecutándose en el host víctima.
Para garantizar la seguridad de sus proyectos, los desarrolladores de software deben prestar atención a la hora de seleccionar los paquetes que van a descargar. Esto incluye comprobar los autores del paquete y revisar el código para detectar cualquier intención sospechosa o maliciosa.
Fuente: Bleeping Computer | somoslibres
