Investigadores de ciberseguridad han descubierto un paquete Python malicioso subido al repositorio Python Package Index (PyPI) que está diseñado para entregar un ladrón de información llamado Lumma (también conocido como LummaC2).
El paquete en cuestión es crytic-compilers, una versión con errores tipográficos de una biblioteca legítima llamada compilación crítica. El paquete deshonesto fue descargado 441 veces antes de que los mantenedores de PyPI lo eliminaran.
«La biblioteca falsificada es interesante porque, además [to] Al llevar el nombre de la utilidad legítima de Python, ‘crytic-compile’, alinea sus números de versión con la biblioteca real», dijo el investigador de seguridad de Sonatype, Ax Sharma. dicho.
«Mientras que la última versión de la biblioteca real se detiene en 0.3.7, la versión falsificada de los ‘compiladores críticos’ continúa aquí y termina en 0.3.11, dando la impresión de que se trata de una versión más nueva del componente».
En un intento adicional de mantener la artimaña, se descubrió que algunas versiones de compiladores crípticos (por ejemplo, 0.3.9) instalaban el paquete real mediante una modificación del script setup.py.
La última versión, sin embargo, elimina toda pretensión de ser una biblioteca benigna al determinar si el sistema operativo es Windows y, de ser así, lanza un ejecutable («s.exe«), que, a su vez, está diseñado para recuperar cargas útiles adicionales, incluido el Lumma Stealer.
Lumma, un ladrón de información disponible para otros actores criminales bajo un modelo de malware como servicio (MaaS), se ha distribuido a través de diversos métodos, como software troyanizado, publicidad maliciosa e incluso actualizaciones falsas del navegador.
El descubrimiento «demuestra que actores de amenazas experimentados ahora apuntan a los desarrolladores de Python y abusan de registros de código abierto como PyPI como canal de distribución para su potente arsenal de robo de datos», dijo Sharma.
Campañas falsas de actualización del navegador se dirigen a cientos de sitios de WordPress
El desarrollo se produce cuando Sucuri reveló que más de 300 sitios de WordPress se han visto comprometidos con ventanas emergentes maliciosas de actualización de Google Chrome que redirigen a los visitantes del sitio a instaladores MSIX falsos que conducen a la implementación de ladrones de información y troyanos de acceso remoto.
Las cadenas de ataques implican que los actores de amenazas obtengan acceso no autorizado a la interfaz de administración de WordPress e instalen un complemento legítimo de WordPress llamado Hustle: marketing por correo electrónico, generación de leads, opciones, ventanas emergentes para cargar el código responsable de mostrar las ventanas emergentes falsas de actualización del navegador.
«Esta campaña subraya una tendencia creciente entre los piratas informáticos a aprovechar complementos legítimos con fines maliciosos», dijo el investigador de seguridad Puja Srivastava. dicho. «Al hacerlo, pueden evadir la detección de los escáneres de archivos, ya que la mayoría de los complementos almacenan sus datos dentro de la base de datos de WordPress».