Un actor de amenazas por el nombre Lolip0p ha subido tres paquetes no autorizados al repositorio Python Package Index (PyPI) que están diseñados para colocar malware en sistemas de desarrolladores comprometidos.
Los paquetes – nombrados coloreslib (versiones 4.6.11 y 4.6.12), httpslib (versiones 4.6.9 y 4.6.11), y libhttps (versión 4.6.12): por el autor entre el 7 de enero de 2023 y el 12 de enero de 2023. Desde entonces, se han eliminado de PyPI, pero no antes de que se hayan descargado acumulativamente más de 550 veces.
Los módulos vienen con scripts de configuración idénticos que están diseñados para invocar PowerShell y ejecutar un binario malicioso (“Oxzy.exe“) alojado en Dropbox, Fortinet revelado en un informe publicado la semana pasada.
El ejecutable, una vez lanzado, desencadena la recuperación de una siguiente etapa, también un binario llamado actualizar.exeque se ejecuta en la carpeta temporal de Windows (“%USER%AppDataLocalTemp”).
update.exe está marcado por los proveedores de antivirus en VirusTotal como un ladrón de información que también es capaz de colocar archivos binarios adicionales, uno de los cuales es detectado por Microsoft como Wacatac.
El fabricante de Windows describe el troyano como una amenaza que “puede realizar una serie de acciones a elección de un pirata informático malicioso en su PC”, incluida la entrega Secuestro de datos y otras cargas útiles.
“El autor también posiciona cada paquete como legítimo y limpio al incluir una descripción convincente del proyecto”, dijo el investigador de Fortinet FortiGuard Labs, Jin Lee. “Sin embargo, estos paquetes descargan y ejecutan un ejecutable binario malicioso”.
La revelación llega semanas después de que Fortinet descubriera otros dos paquetes maliciosos con el nombre de Shaderz y aioconsol que albergan capacidades similares para recopilar y exfiltrar información personal confidencial.
Los hallazgos demuestran una vez más el flujo constante de actividad maliciosa registrada en los repositorios de paquetes de código abierto populares, en los que los actores de amenazas se aprovechan de las relaciones de confianza para plantar código contaminado con el fin de amplificar y extender el alcance de las infecciones.
Se recomienda a los usuarios que tengan cuidado cuando se trata de descargar y ejecutar paquetes de autores que no son de confianza para evitar ser víctimas de ataques a la cadena de suministro.