Se encontró un paquete malicioso descubierto en el Python Package Index (PyPI) que emplea un truco esteganográfico para ocultar el código malicioso dentro de los archivos de imagen.
El paquete en cuestión, llamado «apicolor«, se cargó en el repositorio de terceros de Python el 31 de octubre de 2022 y se describió como una «Librería central para la API REST», según la firma de ciberseguridad israelí. punto de control. desde entonces ha sido derribados.
Apicolor, al igual que otros paquetes no autorizados detectados recientemente, alberga su comportamiento malicioso en el script de configuración que se usa para especificar los metadatos asociados con el paquete, como sus dependencias.
Esto toma la forma de un segundo paquete llamado «judyb», así como un archivo PNG aparentemente inofensivo («8F4D2uF.png») alojado en Imgur, un servicio para compartir imágenes.
«El código judyb resultó ser un módulo de esteganografía, responsable [for] ocultando y revelando mensajes ocultos dentro de las imágenes», explicó Check Point.
La cadena de ataque implica el uso del paquete judyb para extraer el código Python ofuscado incrustado en la imagen descargada que, al decodificarse, está diseñado para recuperar y ejecutar un binario malicioso desde un servidor remoto.
El desarrollo es parte de una tendencia en curso en la que los actores de amenazas están poniendo cada vez más su mirada en el ecosistema de código abierto para explotar la confianza asociada con el software de terceros para montar ataques a la cadena de suministro.
Aún más preocupante, estas bibliotecas maliciosas pueden incorporarse a otros proyectos de código abierto y publicarse en GitHub, ampliando efectivamente el alcance y la escala de los ataques.
«Estos hallazgos reflejan una cuidadosa planificación y pensamiento por parte de un actor de amenazas, que demuestra que las técnicas de ofuscación en PyPI han evolucionado», dijo la compañía.