Los investigadores de ciberseguridad han identificado un conjunto de 116 paquetes maliciosos en el repositorio Python Package Index (PyPI) que están diseñados para infectar sistemas Windows y Linux con una puerta trasera personalizada.
«En algunos casos, la carga útil final es una variante del infame W4SP Stealer, o un simple monitor de portapapeles para robar criptomonedas, o ambos», afirman los investigadores de ESET Marc-Etienne M.Léveillé y Rene Holt. dicho en un informe publicado a principios de esta semana.
El paquetes Se estima que se han descargado más de 10.000 veces desde mayo de 2023.
Se ha observado que los actores de amenazas detrás de la actividad utilizan tres técnicas para agrupar código malicioso en paquetes de Python, concretamente a través de un script test.py, incrustando PowerShell en el archivo setup.py e incorporándolo en forma ofuscada en el Archivo __init__.py.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Independientemente del método utilizado, el objetivo final de la campaña es comprometer el host objetivo con malware, principalmente una puerta trasera capaz de ejecutar comandos remotos, filtrar datos y tomar capturas de pantalla. El módulo de puerta trasera está implementado en Python para Windows y en Go para Linux.
Alternativamente, las cadenas de ataques también culminan con la implementación de W4SP Stealer o un malware clipper diseñado para controlar de cerca la actividad del portapapeles de una víctima e intercambiar la dirección de billetera original, si está presente, con una dirección controlada por el atacante.
El desarrollo es el último de una ola de paquetes de Python comprometidos que los atacantes han lanzado para envenenar el ecosistema de código abierto y distribuir una mezcla de malware para ataques a la cadena de suministro.
También es la incorporación más reciente a un flujo constante de paquetes PyPI falsos que han actuado como un canal sigiloso para distribuir malware ladrón. En mayo de 2023, ESET reveló otro grupo de bibliotecas que fueron diseñadas para propagar Sordeal Stealer, que toma prestadas sus características de W4SP Stealer.
Luego, el mes pasado, se descubrió que paquetes maliciosos disfrazados de herramientas de ofuscación aparentemente inocuas implementaban un malware ladrón con nombre en código BlazeStealer.
«Los desarrolladores de Python deberían examinar minuciosamente el código que descargan, especialmente comprobando estas técnicas, antes de instalarlo en sus sistemas», advirtieron los investigadores.
La divulgación también sigue al descubrimiento de paquetes npm que se encontraron dirigidos a una institución financiera anónima como parte de un «ejercicio avanzado de simulación de adversario». Los nombres de los módulos, que contenían un blob cifrado, se han retenido para proteger la identidad de la organización.
«Esta carga útil descifrada contiene un binario incorporado que extrae inteligentemente las credenciales del usuario a un webhook de Microsoft Teams interno de la empresa objetivo en cuestión», dijo la empresa de seguridad de la cadena de suministro de software Phylum. revelado la semana pasada.