Han surgido más detalles sobre los operadores detrás de la primera campaña de phishing conocida dirigida específicamente al Python Package Index (PyPI), el repositorio oficial de software de terceros para el lenguaje de programación.
Conectándolo a un actor de amenazas rastreado como JugoLedgerla firma de ciberseguridad SentinelOne, junto con Checkmarx, describieron al grupo como una entidad relativamente nueva que surgió a principios de 2022.
Se dice que las campañas iniciales de «bajo perfil» involucraron el uso de aplicaciones de instalación de Python no autorizadas para entregar un malware basado en .NET llamado JuiceStealer que está diseñado para desviar contraseñas y otros datos confidenciales de los navegadores web de las víctimas.
Los ataques recibieron un lavado de cara significativo el mes pasado cuando los actores de JuiceLedger se dirigieron a los contribuyentes del paquete PyPi en una campaña de phishing, lo que resultó en el compromiso de tres paquetes con malware.
«El ataque a la cadena de suministro contra los contribuyentes del paquete PyPI parece ser una escalada de una campaña que comenzó a principios de año y que inicialmente se dirigía a víctimas potenciales a través de aplicaciones de comercio de criptomonedas falsas», dijo el investigador de SentinelOne, Amitai Ben Shushan Ehrlich. dijo en un informe
Presumiblemente, el objetivo es infectar a una audiencia más amplia con el ladrón de información a través de una combinación de paquetes troyanizados y typosquat, agregó la firma de ciberseguridad.
El desarrollo se suma a las crecientes preocupaciones en torno a la seguridad del ecosistema de código abierto, lo que llevó a Google a tomar medidas para anunciar recompensas monetarias por encontrar fallas en sus proyectos disponibles en el dominio público.
Con los ataques de apropiación de cuentas convirtiéndose en un vector de infección popular para los atacantes que buscan envenenar las cadenas de suministro de software, PyPI ha comenzado a imponer un requisito obligatorio de autenticación de dos factores (2FA) para los proyectos considerados «críticos».
«JuiceLedger parece haber evolucionado muy rápidamente de infecciones oportunistas a pequeña escala hace solo unos meses a realizar un ataque a la cadena de suministro en un importante distribuidor de software», dijo SentinelOne.