Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Paquetes PyPI maliciosos que usan código de Python compilado para eludir la detección
  • Tecnología

Paquetes PyPI maliciosos que usan código de Python compilado para eludir la detección

teknomers 1 de Haziran de 2023 (Last updated: 1 de Haziran de 2023) 4 minutes read
Paquetes PyPI maliciosos que usan código de Python compilado para


01 de junio de 2023Ravie LakshmanánProgramación / Cadena de suministro

Los investigadores han descubierto un nuevo ataque en el repositorio de Python Package Index (PyPI) que emplea código Python compilado para eludir la detección por parte de las herramientas de seguridad de aplicaciones.

“Puede ser el primer ataque a la cadena de suministro que aprovecha el hecho de que los archivos de código de bytes de Python (PYC) se pueden ejecutar directamente”, dijo el analista de ReversingLabs, Karlo Zanki. dicho en un informe compartido con The Hacker News.

El paquete en cuestión es fshec2que se eliminó del registro de paquetes el 17 de abril de 2023, luego de la divulgación responsable el mismo día.

Los archivos PYC son archivos de código de bytes compilados que genera el intérprete de Python cuando se ejecuta un programa de Python.

“Cuando se importa un módulo por primera vez (o cuando el archivo fuente ha cambiado desde que se creó el archivo compilado actual), se debe crear un archivo .pyc que contenga el código compilado en un subdirectorio __pycache__ del directorio que contiene el archivo .py, ” explica la documentación de Python.

El paquete, según la empresa de seguridad de la cadena de suministro de software, contiene tres archivos: _init_.py, main.py y full.pyc, el último de los cuales alberga una funcionalidad maliciosa.

“El punto de entrada del paquete se encontró en el archivo __init__.py, que importa una función del otro archivo de texto sin formato, main.py, que contiene el código fuente de Python responsable de cargar el módulo compilado de Python ubicado en uno de los otros archivos , full.pyc”, señaló Zanki.

Paquetes PyPI maliciosos

Esto, a su vez, se logra haciendo uso de la paquete importlib (a diferencia de una importación regular) para cargar y ejecutar el código presente en el archivo .pyc.

Un análisis de la versión de ingeniería inversa del archivo PYC revela que está configurado para recopilar nombres de usuario, nombres de host y listados de directorios, así como para obtener comandos que se ejecutarán en el host desde un servidor codificado (13.51.44[.]246).

PRÓXIMO SEMINARIO WEB

🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!

Únase a la sesión

ReversingLabs dijo que también observó la descarga del módulo y ejecutó otro script de Python que es responsable de obtener nuevos comandos colocados dentro de un archivo que el actor de amenazas puede modificar a voluntad para emitir diferentes instrucciones.

Un examen más detallado del servidor de comando y control descubrió una configuración incorrecta que hizo posible descargar archivos por su ID, que están numerados en orden secuencial (comenzando desde 1), sin ninguna autorización. Esto indica que lo más probable es que el ataque no haya sido orquestado por un actor sofisticado.

El desarrollo es una continuación de los esfuerzos por parte de los actores de amenazas para adoptar diferentes técnicas de ofuscación para evadir la detección de las soluciones de seguridad.

“Los scripts de carga como los descubiertos en el paquete fshec2 contienen una cantidad mínima de código de Python y realizan una acción simple: cargar un módulo de Python compilado”, dijo Zanki. “Simplemente resulta ser un módulo malicioso”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Entre la guerra comercial y la regulación, los empresarios chinos tienen deseos en otros lugares
Next: Se necesita investigación adicional sobre los efectos de la extracción de gas en Vledderveen en la naturaleza y el estado del Patrimonio Mundial

Related Stories

Amazon retira el 50% del precio de este cargador USB-C
  • Tecnología

Amazon retira el 50% del precio de este cargador USB-C de 65 W con tres puertos de carga

teknomers 21 de Haziran de 2026
Lego presenta su primer flipper funcional: un set retro de
  • Tecnología

Lego presenta su primer flipper funcional: un set retro de 2,274 piezas que se juega “de verdad”

teknomers 21 de Haziran de 2026
Análisis del Logitech G512 X 75: el teclado gamer híbrido
  • Tecnología

Análisis del Logitech G512 X 75: el teclado gamer híbrido que busca simplificar lo analógico

teknomers 21 de Haziran de 2026

You May Have Missed

  • Deporte

«El mundo debe entender que contamos»: Diney Borges, el increíble defensor de Cabo Verde que ha comenzado a encadenar goles

teknomers 21 de Haziran de 2026
  • Cultura

Audiencias de TV: cerca de un tercio de los televidentes durante la victoria de Alemania sobre la Côte d’Ivoire.

teknomers 21 de Haziran de 2026
Amazon retira el 50% del precio de este cargador USB-C
  • Tecnología

Amazon retira el 50% del precio de este cargador USB-C de 65 W con tres puertos de carga

teknomers 21 de Haziran de 2026
Canicule: "El nivel de la jornada más caliente jamás medido
  • salud

Canicule: “El nivel de la jornada más caliente jamás medido en Francia”, ¿por qué lo peor aún está por venir?

teknomers 21 de Haziran de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.