{"id":1119604,"date":"2024-01-04T11:26:49","date_gmt":"2024-01-04T11:26:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/cuidado-se-encontraron-3-paquetes-maliciosos-de-pypi-dirigidos-a-linux-con-criptomineros\/"},"modified":"2024-01-04T11:26:53","modified_gmt":"2024-01-04T11:26:53","slug":"cuidado-se-encontraron-3-paquetes-maliciosos-de-pypi-dirigidos-a-linux-con-criptomineros","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cuidado-se-encontraron-3-paquetes-maliciosos-de-pypi-dirigidos-a-linux-con-criptomineros\/","title":{"rendered":"Cuidado: se encontraron 3 paquetes maliciosos de PyPI dirigidos a Linux con criptomineros"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>04 de enero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Minero de criptomonedas\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se han descubierto tres nuevos paquetes maliciosos en el repositorio de c\u00f3digo abierto Python Package Index (PyPI) con capacidades para implementar un minero de criptomonedas en los dispositivos Linux afectados.<\/p>\n

Los tres paquetes da\u00f1inos, llamados modularseven, driftme y catme, atrajeron un total de 431 descargas durante el \u00faltimo mes antes de ser eliminados.<\/p>\n

“Estos paquetes, en su uso inicial, implementan un ejecutable de CoinMiner en dispositivos Linux”, dijo Gabby Xiong, investigadora de Fortinet FortiGuard Labs. dicho<\/a>agregando que las acciones de la campa\u00f1a se superponen con una campa\u00f1a anterior que implic\u00f3 el uso de un paquete llamado culturestreak para implementar un criptominero.<\/p>\n

\"La<\/a><\/center><\/div>\n

El c\u00f3digo malicioso reside en el archivo __init__.py, que decodifica y recupera la primera etapa de un servidor remoto, un script de shell (“unmi.sh”) que recupera un archivo de configuraci\u00f3n para la actividad minera, as\u00ed como el archivo CoinMiner. alojado en GitLab<\/a>.<\/p>\n

El binario ELF<\/a> Luego el archivo se ejecuta en segundo plano usando el comando nohup<\/a>asegurando as\u00ed que el proceso contin\u00faa ejecut\u00e1ndose despu\u00e9s de salir de la sesi\u00f3n.<\/p>\n

“Haci\u00e9ndose eco del enfoque del paquete anterior ‘culturestreak’, estos paquetes ocultan su carga \u00fatil, reduciendo efectivamente la detectabilidad de su c\u00f3digo malicioso al alojarlo en una URL remota”, dijo Xiong. “La carga \u00fatil se libera luego de forma incremental en varias etapas para ejecutar sus actividades maliciosas”.<\/p>\n

Las conexiones con el paquete culturestreak tambi\u00e9n surgen del hecho de que el archivo de configuraci\u00f3n est\u00e1 alojado en el dominio papiculo.[.]net y los ejecutables de miner\u00eda de monedas est\u00e1n alojados en un repositorio p\u00fablico de GitLab.<\/p>\n

\"La<\/a><\/center><\/div>\n

Una mejora notable en los tres nuevos paquetes es la introducci\u00f3n de una etapa adicional que oculta su nefasta intenci\u00f3n en el script de shell, lo que ayuda a evadir la detecci\u00f3n por parte del software de seguridad y alarga el proceso de explotaci\u00f3n.<\/p>\n

“Adem\u00e1s, este malware inserta comandos maliciosos en el archivo ~\/.bashrc”, dijo Xiong. “Esta adici\u00f3n garantiza la persistencia y reactivaci\u00f3n del malware en el dispositivo del usuario, extendiendo efectivamente la duraci\u00f3n de su operaci\u00f3n encubierta. Esta estrategia ayuda a la explotaci\u00f3n prolongada y sigilosa del dispositivo del usuario para beneficio del atacante”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n