Cuatro paquetes no autorizados diferentes en el índice de paquetes de Python (PyPI) han llevado a cabo una serie de acciones maliciosas, incluida la eliminación de malware, la eliminación de la utilidad netstat y la manipulación del archivo de claves autorizadas SSH.
Los paquetes en cuestión son aptx, bingchilling2, htopsy tkint3rs, todos los cuales se descargaron colectivamente unas 450 veces antes de que se eliminaran. Mientras que aptx es un intento de hacerse pasar por Qualcomm códec de audio muy popular del mismo nombre, httops y tkint3rs son typosquats de https y tkinter, respectivamente.
«La mayoría de estos paquetes tenían nombres bien pensados, para confundir a la gente a propósito», el investigador de seguridad y periodista Ax Sharma. dicho.
Un análisis del código malicioso inyectado en el script de instalación revela la presencia de un código ofuscado Carga útil de Meterpreter eso está disfrazado de «pepita«un instalador de paquetes legítimo para Python, y se puede aprovechar para obtener acceso de shell al host infectado.
También se están tomando medidas para eliminar el netstat utilidad de línea de comandos que se usa para monitorear la configuración y la actividad de la red, así como para modificar la Archivo .ssh/authorized_keys para configurar una puerta trasera SSH para el acceso remoto.
«Ahora bien, este es un ejemplo elegante pero del mundo real de malware dañino que se abrió paso con éxito en el ecosistema de código abierto», señaló Sharma.
Pero en una señal de que el malware que se cuela en los repositorios de software es una amenaza recurrente, Fortinet FortiGuard Labs descubrió cinco paquetes diferentes: web3-esencial, 3m-promo-gen-api, ai-solver-gen, monedas hipixel, httpxsolicitudv2y httpxsolicitante – que son diseñado a cosechar y exfiltrar información sensible.
Las revelaciones se producen cuando ReversingLabs arroja luz sobre un módulo npm malicioso llamado aabquerys que está diseñado para hacerse pasar por el paquete abquery legítimo para engañar a los desarrolladores para que lo descarguen.
El código JavaScript ofuscado, por su parte, viene con capacidades para recuperar un ejecutable de segunda etapa desde un servidor remoto que, a su vez, contiene un proxy binario de Avast (wsc_proxy.exe) que se sabe que es vulnerable a Carga lateral de DLL ataques
Esto permite que el actor de amenazas invoque una biblioteca maliciosa que está diseñada para obtener un componente de tercera etapa, Demon.bin, desde un servidor de comando y control (C2).
«Demon.bin es un agente malicioso con funcionalidades típicas de RAT (troyano de acceso remoto) que se generó utilizando un marco de comando y control de código abierto, posterior a la explotación llamado Estragos«, Lucija Valentić, investigadora de ReversingLabs dicho.
Además, se dice que el autor de aabquerys publicó múltiples versiones de otros dos paquetes llamados aabquery y nvm_jquery que se sospecha que son las primeras iteraciones de aabquerys.
Havoc está lejos de ser el único marco de explotación de C2 detectado en la naturaleza, ya que los actores criminales aprovechan suites personalizadas como Manjusaka, Covenant, Merlin y Empire en campañas de malware.
Los hallazgos también subrayan la creciente riesgo de paquetes nefastos al acecho en repositorios de código abierto como npm y PyPi, que pueden tener un impacto severo en la cadena de suministro de software.