Un ataque continuo a la cadena de suministro ha estado aprovechando paquetes maliciosos de Python para distribuir malware llamado W4SP Stealer, con más de cientos de víctimas atrapadas hasta la fecha.
«El actor de amenazas todavía está activo y está lanzando más paquetes maliciosos», dijo el investigador de Checkmarx, Jossef Harush. dijo en un escrito técnico, llamando al adversario AVISPA. «El ataque parece estar relacionado con el cibercrimen, ya que el atacante afirma que estas herramientas son indetectables para aumentar las ventas».
Los hallazgos de Checkmarx se basan en informes recientes de Phylum y Check Point, que marcaron 30 módulos diferentes publicados en el Python Package Index (PyPI) que fueron diseñados para propagar código malicioso bajo la apariencia de paquetes de aspecto benigno.
El ataque es solo la última amenaza dirigida a la cadena de suministro de software. Lo que lo hace notable es el uso de la esteganografía para extraer una malware polimórfico carga útil oculta dentro de un archivo de imagen alojado en Imgur.
La instalación del paquete finalmente da paso a W4SP Stealer (también conocido como WASP Stealer), un ladrón de información diseñado para exfiltrar cuentas de Discord, contraseñas, billeteras criptográficas y otros archivos de interés para un Webhook de discordia.
El análisis de Checkmarx rastreó aún más el servidor Discord del atacante, que es administrado por un usuario solitario llamado «Alpha.#0001», y los diversos perfiles falsos creados en GitHub para atraer a los desarrolladores involuntarios para que descarguen el malware.
Además, se ha observado que el operador Alpha.#0001 anuncia el «totalmente indetectable» por $20 en el canal Discord, sin mencionar el lanzamiento constante de nuevos paquetes con diferentes nombres tan pronto como se eliminan de PyPI.
Recientemente, el 15 de noviembre, se vio al actor de amenazas adoptando un nuevo nombre de usuario en PyPI («detener») para cargar bibliotecas de typosquatting que aprovecharon StarJacking – una técnica en la que se publica un paquete con una URL que apunta a un repositorio de código fuente ya popular.
«El nivel de manipulación utilizado por los atacantes de la cadena de suministro de software está aumentando a medida que los atacantes se vuelven cada vez más inteligentes», señaló Harush. «Esta es la primera vez [I’ve] visto malware polimórfico utilizado en ataques a la cadena de suministro de software».
«La técnica simple y letal de engañar mediante la creación de cuentas falsas de GitHub y el intercambio de fragmentos envenenados ha demostrado engañar a cientos de usuarios para que participen en esta campaña».
El desarrollo también se produce cuando las agencias de ciberseguridad e inteligencia de EE. UU. publicaron una nueva guía que describe las prácticas recomendadas que los clientes pueden tomar para asegurar la cadena de suministro de software.
«Los equipos de clientes especifican y confían en los proveedores para proporcionar artefactos clave (por ejemplo, SBOM) y mecanismos para verificar el producto de software, sus propiedades de seguridad y dar fe de los procesos y procedimientos de seguridad SDLC», la guía lee.