En lo que es otro caso de paquetes maliciosos que ingresan sigilosamente a los repositorios de códigos públicos, se eliminaron 10 módulos del índice de paquetes de Python (PyPI) por su capacidad para recopilar puntos de datos críticos, como contraseñas y tokens Api.
Los paquetes «instalan ladrones de información que permiten a los atacantes robar datos privados y credenciales personales del desarrollador», la empresa de ciberseguridad israelí Check Point. dijo en un informe del lunes.
A continuación se incluye un breve resumen de los paquetes ofensivos:
- Ascii2textoque descarga un script nefasto que recopila contraseñas almacenadas en navegadores web como Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser
- Pyg-utils, Pymocks y PyProto2que están diseñados para robar las credenciales de AWS de los usuarios
- Prueba asíncrona y Zlibsrcque descargan y ejecutan código malicioso durante la instalación
- Free-net-vpn, Free-net-vpn2 y WINRPCexploitque roban credenciales de usuario y variables de entorno, y
- navegadordivque son capaces de recopilar credenciales y otra información guardada en el navegador web Almacenamiento local carpeta
La divulgación es la última de una lista que crece rápidamente de casos recientes en los que los actores de amenazas han publicado software no autorizado en repositorios de software ampliamente utilizados, como PyPI y Node Package Manager (NPM), con el objetivo de interrumpir la cadena de suministro de software.
En todo caso, el riesgo elevado que plantean tales incidentes aumenta la necesidad de revisar y ejercer la diligencia debida antes de descargar software de código abierto y de terceros de repositorios públicos.
Los paquetes NPM maliciosos roban tokens de Discord y datos de tarjetas bancarias
Apenas el mes pasado, Kaspersky reveló cuatro bibliotecas, a saber, small-sm, pern-valids, lifeculer y proc-title, en el registro del paquete NPM que contenía código malicioso de Python y JavaScript altamente ofuscado diseñado para robar tokens de Discord e información de tarjetas de crédito vinculadas.
La campaña, denominada LofyVidademuestra cómo dichos servicios han demostrado ser un vector de ataque lucrativo para que los adversarios lleguen a un número significativo de usuarios intermedios disfrazando el malware como bibliotecas aparentemente útiles.
«Los ataques a la cadena de suministro están diseñados para explotar las relaciones de confianza entre una organización y partes externas», dijeron los investigadores. «Estas relaciones podrían incluir asociaciones, relaciones con proveedores o el uso de software de terceros».
«Los actores de amenazas cibernéticas comprometerán a una organización y luego ascenderán en la cadena de suministro, aprovechando estas relaciones confiables para obtener acceso a los entornos de otras organizaciones».