Se ha observado que un actor de amenazas desconocido publica paquetes typosquat en el repositorio Python Package Index (PyPI) durante casi seis meses con el objetivo de entregar malware capaz de ganar persistencia, robar datos confidenciales y acceder a billeteras de criptomonedas para obtener ganancias financieras.
Los 27 paquetes, que se hicieron pasar por bibliotecas populares legítimas de Python, atrajeron miles de descargas, dijo Checkmarx en un nuevo informe. La mayoría de las descargas se originaron en EE. UU., China, Francia, Hong Kong, Alemania, Rusia, Irlanda, Singapur, Reino Unido y Japón.
«Una característica definitoria de este ataque fue la utilización de esteganografía para ocultar una carga maliciosa dentro de un archivo de imagen de apariencia inocente, lo que aumentó el sigilo del ataque», dijo la firma de seguridad de la cadena de suministro de software. dicho.
Algunos de los paquetes son pyefflorer, pyminor, pyowler, pystallerer, pystob y pywool, el último de los cuales se plantó el 13 de mayo de 2023.
Un denominador común de estos paquetes es el uso del script setup.py para incluir referencias a otros paquetes maliciosos (es decir, pystob y pywool) que implementan un script de Visual Basic (VBScript) para descargar y ejecutar un archivo llamado «Runtime. exe» para lograr persistencia en el host.
Incrustado en el binario hay un archivo compilado que es capaz de recopilar información de navegadores web, billeteras de criptomonedas y otras aplicaciones.
Se dice que una cadena de ataque alternativa observada por Checkmarx ocultó el código ejecutable dentro de una imagen PNG («uwu.png»), que posteriormente se decodifica y ejecuta para extraer la dirección IP pública y el identificador único universal (UUID) del sistema afectado.
Pystob y Pywool, en particular, se publicaron bajo la apariencia de herramientas para la administración de API, solo para filtrar los datos a un webhook de Discord e intentar mantener la persistencia colocando el archivo VBS en la carpeta de inicio de Windows.
«Esta campaña sirve como otro claro recordatorio de las amenazas siempre presentes que existen en el panorama digital actual, particularmente en áreas donde la colaboración y el intercambio abierto de código son fundamentales», dijo Checkmarx.
El desarrollo surge como ReversingLabs descubierto una nueva ola de paquetes npm de protestware que «ocultan scripts que transmiten mensajes de paz relacionados con los conflictos en Ucrania, Israel y la Franja de Gaza».
Uno de los paquetes, llamado @snyk/peine-suéter (versión 2.1.1), determina la ubicación geográfica del host y, si se encuentra que es Rusia, muestra un mensaje criticando la «invasión injustificada» de Ucrania a través de otro módulo llamado «es5-ext«.
Otro paquete, e2eakarevtiene la descripción «paquete de protesta de Palestina libre» en el archivo package.json y lleva a cabo comprobaciones similares para ver si la dirección IP se resuelve en Israel y, de ser así, registra lo que se describe como un «mensaje de protesta inofensivo» que insta a los desarrolladores a sensibilizar sobre la lucha palestina.
No son sólo los actores de amenazas los que se infiltran en los ecosistemas de código abierto. A principios de esta semana, GitGuardian reveló la presencia de 3938 secretos únicos en total en 2922 proyectos PyPI, de los cuales 768 secretos únicos resultaron válidos.
Esto incluye claves de AWS, claves API de Azure Active Directory, claves de aplicaciones GitHub OAuth, claves de Dropbox, claves SSH y credenciales asociadas con MongoDB, MySQL, PostgreSQL, Coinbase y Twilio.
Es más, muchos de estos secretos se filtraron más de una vez, abarcando múltiples versiones, lo que eleva el número total de ocurrencias a 56.866.
«Exponer secretos en paquetes de código abierto conlleva riesgos significativos tanto para los desarrolladores como para los usuarios», dijo Tom Forbes de GitGuardian. «Los atacantes pueden explotar esta información para obtener acceso no autorizado, hacerse pasar por los mantenedores de paquetes o manipular a los usuarios mediante tácticas de ingeniería social».
La ola continua de ataques dirigidos a la cadena de suministro de software también ha llevado al gobierno de EE. UU. a emitir este mes nuevas directrices para que los desarrolladores y proveedores de software mantengan y proporcionen conciencia sobre la seguridad del software.
«Se recomienda que las organizaciones de adquisición asigne evaluaciones de riesgos de la cadena de suministro a sus decisiones de compra, dados los recientes incidentes de alto perfil en la cadena de suministro de software», dijeron la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina del Director. de Inteligencia Nacional (ODNI) dicho.
«Los desarrolladores y proveedores de software deberían mejorar sus procesos de desarrollo de software y reducir el riesgo de daño no sólo a los empleados y accionistas, sino también a sus usuarios».