{"id":1194765,"date":"2024-02-20T20:36:31","date_gmt":"2024-02-20T20:36:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/nuevos-paquetes-pypi-maliciosos-detectados-mediante-tacticas-encubiertas-de-carga-lateral\/"},"modified":"2024-02-20T20:36:39","modified_gmt":"2024-02-20T20:36:39","slug":"nuevos-paquetes-pypi-maliciosos-detectados-mediante-tacticas-encubiertas-de-carga-lateral","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nuevos-paquetes-pypi-maliciosos-detectados-mediante-tacticas-encubiertas-de-carga-lateral\/","title":{"rendered":"Nuevos paquetes PyPI maliciosos detectados mediante t\u00e1cticas encubiertas de carga lateral"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>20 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Malware\/Seguridad de la cadena de suministro<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad descubrieron dos paquetes maliciosos en el repositorio Python Package Index (PyPI) que aprovechaban una t\u00e9cnica llamada carga lateral de DLL para eludir la detecci\u00f3n por parte del software de seguridad y ejecutar c\u00f3digo malicioso.<\/p>\n

Los paquetes, llamados NP6HelperHttptest<\/strong> y NP6HelperHttper<\/strong>fueron descargados cada uno 537<\/a> y 166 veces<\/a>respectivamente, antes de que fueran eliminados.<\/p>\n

“El \u00faltimo descubrimiento es un ejemplo de descarga de DLL ejecutada por un paquete de c\u00f3digo abierto que sugiere que el alcance de las amenazas a la cadena de suministro de software se est\u00e1 expandiendo”, dijo el investigador de ReversingLabs, Petar Kirhmajer. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\"La<\/a><\/center><\/div>\n

El nombre NP6 es notable porque se refiere a una soluci\u00f3n leg\u00edtima de automatizaci\u00f3n de marketing creada por ChapsVision. En particular, los paquetes falsos son typosquats de NP6HelperHttp y NP6HelperConfig, que son herramientas de ayuda publicadas por uno de los empleados de ChapsVision en PyPI.<\/p>\n

En otras palabras, el objetivo es enga\u00f1ar a los desarrolladores que buscan NP6HelperHttp y NP6HelperConfig para que descarguen sus hom\u00f3logos maliciosos.<\/p>\n

\"Paquetes<\/a><\/div>\n

Dentro de las dos bibliotecas hay un script setup.py que est\u00e1 dise\u00f1ado para descargar dos archivos, un ejecutable real de Kingsoft Corporation (“ComServer.exe”) con sede en Beijing que es vulnerable a la carga lateral de DLL y la DLL maliciosa que se carga lateralmente. (“dgdeskband64.dll”).<\/p>\n

Al cargar la DLL, el objetivo es evitar la detecci\u00f3n del c\u00f3digo malicioso, como se observ\u00f3 anteriormente en el caso de un paquete npm llamado aabquerys que tambi\u00e9n aprovech\u00f3 la misma t\u00e9cnica para ejecutar c\u00f3digo capaz de implementar un troyano de acceso remoto.<\/p>\n

La DLL, por su parte, llega a un dominio controlado por el atacante (“us.archive-ubuntu[.]top”) para recuperar un archivo GIF que, en realidad, es un fragmento de c\u00f3digo shell para Cobalt Strike Beacon, un conjunto de herramientas post-explotaci\u00f3n utilizado para el equipo rojo.<\/p>\n

\"La<\/a><\/center><\/div>\n

Hay evidencia que sugiere que los paquetes son parte de una campa\u00f1a m\u00e1s amplia que involucra la distribuci\u00f3n de ejecutables similares que son susceptibles a la carga lateral de DLL.<\/p>\n

“Las organizaciones de desarrollo deben ser conscientes de las amenazas relacionadas con la seguridad de la cadena de suministro y los repositorios de paquetes de c\u00f3digo abierto”, afirm\u00f3 el investigador de seguridad Karlo Zanki.<\/p>\n

“Incluso si no utilizan repositorios de paquetes de c\u00f3digo abierto, eso no significa que los actores de amenazas no abusar\u00e1n de ellos para hacerse pasar por empresas y sus productos y herramientas de software”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n