Investigadores de ciberseguridad descubrieron dos paquetes maliciosos en el repositorio Python Package Index (PyPI) que aprovechaban una técnica llamada carga lateral de DLL para eludir la detección por parte del software de seguridad y ejecutar código malicioso.
Los paquetes, llamados NP6HelperHttptest y NP6HelperHttperfueron descargados cada uno 537 y 166 vecesrespectivamente, antes de que fueran eliminados.
«El último descubrimiento es un ejemplo de descarga de DLL ejecutada por un paquete de código abierto que sugiere que el alcance de las amenazas a la cadena de suministro de software se está expandiendo», dijo el investigador de ReversingLabs, Petar Kirhmajer. dicho en un informe compartido con The Hacker News.
El nombre NP6 es notable porque se refiere a una solución legítima de automatización de marketing creada por ChapsVision. En particular, los paquetes falsos son typosquats de NP6HelperHttp y NP6HelperConfig, que son herramientas de ayuda publicadas por uno de los empleados de ChapsVision en PyPI.
En otras palabras, el objetivo es engañar a los desarrolladores que buscan NP6HelperHttp y NP6HelperConfig para que descarguen sus homólogos maliciosos.
Dentro de las dos bibliotecas hay un script setup.py que está diseñado para descargar dos archivos, un ejecutable real de Kingsoft Corporation («ComServer.exe») con sede en Beijing que es vulnerable a la carga lateral de DLL y la DLL maliciosa que se carga lateralmente. («dgdeskband64.dll»).
Al cargar la DLL, el objetivo es evitar la detección del código malicioso, como se observó anteriormente en el caso de un paquete npm llamado aabquerys que también aprovechó la misma técnica para ejecutar código capaz de implementar un troyano de acceso remoto.
La DLL, por su parte, llega a un dominio controlado por el atacante («us.archive-ubuntu[.]top») para recuperar un archivo GIF que, en realidad, es un fragmento de código shell para Cobalt Strike Beacon, un conjunto de herramientas post-explotación utilizado para el equipo rojo.
Hay evidencia que sugiere que los paquetes son parte de una campaña más amplia que involucra la distribución de ejecutables similares que son susceptibles a la carga lateral de DLL.
«Las organizaciones de desarrollo deben ser conscientes de las amenazas relacionadas con la seguridad de la cadena de suministro y los repositorios de paquetes de código abierto», afirmó el investigador de seguridad Karlo Zanki.
«Incluso si no utilizan repositorios de paquetes de código abierto, eso no significa que los actores de amenazas no abusarán de ellos para hacerse pasar por empresas y sus productos y herramientas de software».