{"id":1209038,"date":"2024-02-29T11:06:31","date_gmt":"2024-02-29T11:06:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/lazarus-aprovecha-errores-tipograficos-para-introducir-malware-pypi-en-sistemas-de-desarrollo\/"},"modified":"2024-02-29T11:06:35","modified_gmt":"2024-02-29T11:06:35","slug":"lazarus-aprovecha-errores-tipograficos-para-introducir-malware-pypi-en-sistemas-de-desarrollo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lazarus-aprovecha-errores-tipograficos-para-introducir-malware-pypi-en-sistemas-de-desarrollo\/","title":{"rendered":"Lazarus aprovecha errores tipogr\u00e1ficos para introducir malware PyPI en sistemas de desarrollo"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 de febrero de 2024<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Malware\/Seguridad de terminales<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El famoso grupo de pirater\u00eda respaldado por el estado de Corea del Norte, Lazarus, subi\u00f3 cuatro paquetes al repositorio Python Package Index (PyPI) con el objetivo de infectar los sistemas de los desarrolladores con malware.<\/p>\n

Los paquetes, ahora retirados, est\u00e1n pycryptoenv<\/a>, pycryptoconf<\/a>, cuasarlib<\/a>y grupo de intercambio<\/a>. Se han descargado colectivamente 3269 veces, y pycryptoconf representa la mayor cantidad de descargas con 1351.<\/p>\n

“Los nombres de los paquetes pycryptoenv y pycryptoconf son similares a pycrypto, que es un paquete de Python utilizado para algoritmos de cifrado en Python”, dijo Shusei Tomonaga, investigador de JPCERT\/CC. dicho<\/a>. “Por lo tanto, el atacante probablemente prepar\u00f3 los paquetes maliciosos que contienen malware para atacar los errores tipogr\u00e1ficos de los usuarios al instalar los paquetes de Python”.<\/p>\n

La divulgaci\u00f3n se produce d\u00edas despu\u00e9s de que Phylum descubriera varios paquetes maliciosos en el registro npm que se han utilizado para identificar a los desarrolladores de software como parte de una campa\u00f1a con el nombre en c\u00f3digo Contagious Interview.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un punto en com\u00fan interesante entre los dos conjuntos de ataques es que el c\u00f3digo malicioso est\u00e1 oculto dentro del script de prueba (“test.py”). En este caso, sin embargo, el archivo de prueba es simplemente una cortina de humo para lo que es un archivo DLL codificado con XOR, que, a su vez, crea dos archivos DLL llamados IconCache.db y NTUSER.DAT.<\/p>\n

Luego, la secuencia de ataque usa NTUSER.DAT para cargar y ejecutar IconCache.db, un malware llamado Comebacker que es responsable de establecer conexiones con un servidor de comando y control (C2) para buscar y ejecutar un archivo ejecutable de Windows.<\/p>\n

JPCERT\/CC dijo que los paquetes son una continuaci\u00f3n de una campa\u00f1a que Phylum detall\u00f3 por primera vez en noviembre de 2023 como aprovechando m\u00f3dulos npm con tem\u00e1tica criptogr\u00e1fica para entregar Comebacker.<\/p>\n

“Los atacantes pueden estar apuntando a los errores tipogr\u00e1ficos de los usuarios para descargar el malware”, dijo Tomonaga. “Cuando instale m\u00f3dulos y otros tipos de software en su entorno de desarrollo, h\u00e1galo con cuidado para evitar instalar paquetes no deseados”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n