{"id":1293311,"date":"2024-07-27T05:58:13","date_gmt":"2024-07-27T05:58:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/paquete-malicioso-pypi-ataca-macos-para-robar-credenciales-de-google-cloud\/"},"modified":"2024-07-27T05:58:17","modified_gmt":"2024-07-27T05:58:17","slug":"paquete-malicioso-pypi-ataca-macos-para-robar-credenciales-de-google-cloud","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paquete-malicioso-pypi-ataca-macos-para-robar-credenciales-de-google-cloud\/","title":{"rendered":"Paquete malicioso PyPI ataca macOS para robar credenciales de Google Cloud"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de julio de 2024<\/span>\ue804<\/i>Sala de prensa<\/span><\/span>Ciberseguridad \/ Seguridad en la nube<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han descubierto un paquete malicioso en el repositorio Python Package Index (PyPI) que ataca a los sistemas macOS de Apple con el objetivo de robar las credenciales de Google Cloud de los usuarios de un grupo reducido de v\u00edctimas.<\/p>\n

El paquete, llamado “lr-utils-lib”, atrajo un total de 59 descargas<\/a> Antes de que lo eliminaran, se subi\u00f3 al registro a principios de junio de 2024.<\/p>\n

“El malware utiliza una lista de hashes predefinidos para atacar m\u00e1quinas macOS espec\u00edficas e intenta recopilar datos de autenticaci\u00f3n de Google Cloud”, dijo el investigador de Checkmarx Yehuda Gelb. dicho<\/a> En un informe del viernes se dice que “las credenciales recopiladas se env\u00edan a un servidor remoto”.<\/p>\n

\"La<\/a><\/center><\/section>\n

Un aspecto importante del paquete es que primero verifica si se ha instalado en un sistema macOS y solo entonces procede a comparar el Identificador \u00fanico universal (UUID) del sistema con una lista codificada de 64 hashes.<\/p>\n

Si la m\u00e1quina comprometida se encuentra entre las especificadas en el conjunto predefinido, intenta acceder a dos archivos, concretamente application_default_credentials.json y credentials.db, ubicados en el directorio ~\/.config\/gcloud, que contienen datos de autenticaci\u00f3n de Google Cloud.<\/p>\n

\"Paquete<\/a><\/div>\n

La informaci\u00f3n capturada se transmite luego a trav\u00e9s de HTTP a un servidor remoto “europe-west2-workload-422915[.]funciones de la nube[.]neto.”<\/p>\n

Checkmarx dijo que tambi\u00e9n encontr\u00f3 un perfil falso en LinkedIn con el nombre “Lucid Zenith” que coincid\u00eda con el propietario del paquete y afirmaba falsamente ser el CEO de Apex Companies, lo que sugiere un posible elemento de ingenier\u00eda social en el ataque.<\/p>\n

A\u00fan no se sabe exactamente qui\u00e9n est\u00e1 detr\u00e1s de la campa\u00f1a. Sin embargo, se produce m\u00e1s de dos meses despu\u00e9s de que la empresa de ciberseguridad Phylum revelara detalles de otro ataque a la cadena de suministro que involucraba un paquete Python llamado “requests-darwin-lite” que tambi\u00e9n desat\u00f3 sus acciones maliciosas despu\u00e9s de verificar el UUID del host de macOS.<\/p>\n

Estas campa\u00f1as son una se\u00f1al de que los actores de amenazas tienen conocimiento previo de los sistemas macOS en los que quieren infiltrarse y est\u00e1n haciendo todo lo posible para garantizar que los paquetes maliciosos se distribuyan solo a esas m\u00e1quinas en particular.<\/p>\n

Tambi\u00e9n habla de las t\u00e1cticas que emplean los actores maliciosos para distribuir paquetes similares, con el objetivo de enga\u00f1ar a los desarrolladores para que los incorporen a sus aplicaciones.<\/p>\n

“Si bien no est\u00e1 claro si este ataque estaba dirigido a individuos o empresas, este tipo de ataques pueden afectar significativamente a las empresas”, dijo Gelb. “Si bien el ataque inicial generalmente ocurre en la m\u00e1quina de un desarrollador individual, las implicaciones para las empresas pueden ser sustanciales”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n