{"id":1300679,"date":"2024-08-01T18:44:12","date_gmt":"2024-08-01T18:44:12","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-distribuyen-paquetes-maliciosos-de-python-a-traves-de-una-popular-plataforma-de-preguntas-y-respuestas-para-desarrolladores\/"},"modified":"2024-08-01T18:44:17","modified_gmt":"2024-08-01T18:44:17","slug":"los-piratas-informaticos-distribuyen-paquetes-maliciosos-de-python-a-traves-de-una-popular-plataforma-de-preguntas-y-respuestas-para-desarrolladores","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-distribuyen-paquetes-maliciosos-de-python-a-traves-de-una-popular-plataforma-de-preguntas-y-respuestas-para-desarrolladores\/","title":{"rendered":"Los piratas inform\u00e1ticos distribuyen paquetes maliciosos de Python a trav\u00e9s de una popular plataforma de preguntas y respuestas para desarrolladores"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-piratas-informaticos-distribuyen-paquetes-maliciosos-de-Python-a-traves.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>En otra se\u00f1al de que los actores de amenazas siempre est\u00e1n buscando nuevas formas de enga\u00f1ar a los usuarios para que descarguen malware, ha salido a la luz que la plataforma de preguntas y respuestas (Q&#038;A) conocida como Stack Exchange ha sido abusada para dirigir a desarrolladores desprevenidos a paquetes Python falsos capaces de vaciar sus billeteras de criptomonedas.<\/p>\n<p>&#8220;Al instalarse, este c\u00f3digo se ejecutar\u00eda autom\u00e1ticamente, poniendo en marcha una cadena de eventos dise\u00f1ados para comprometer y controlar los sistemas de la v\u00edctima, al mismo tiempo que exfiltraba sus datos y vaciaba sus billeteras criptogr\u00e1ficas&#8221;, dijeron los investigadores de Checkmarx Yehuda Gelb y Tzachi Zornstain en un comunicado. <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/stackexchange-abused-to-spread-malicious-python-package-that-drains-victims-crypto-wallets\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>La campa\u00f1a, que comenz\u00f3 el 25 de junio de 2024, se centr\u00f3 espec\u00edficamente en los usuarios de criptomonedas relacionados con Raydium y Solana. La lista de paquetes fraudulentos descubiertos como parte de la actividad se incluye a continuaci\u00f3n:<\/p>\n<p>Los paquetes se han descargado en conjunto 2082 veces. Ya no est\u00e1n disponibles para su descarga desde el repositorio Python Package Index (PyPI).<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Los-anuncios-de-Facebook-conducen-a-sitios-web-falsos-que.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El malware oculto dentro del paquete serv\u00eda como un ladr\u00f3n de informaci\u00f3n en toda regla, arrojando una amplia red de datos, incluidas contrase\u00f1as de navegadores web, cookies y detalles de tarjetas de cr\u00e9dito, billeteras de criptomonedas e informaci\u00f3n asociada con aplicaciones de mensajer\u00eda como Telegram, Signal y Session.<\/p>\n<p>Tambi\u00e9n inclu\u00eda capacidades para capturar capturas de pantalla del sistema y buscar archivos que contuvieran c\u00f3digos de recuperaci\u00f3n de GitHub y claves de BitLocker. La informaci\u00f3n recopilada se comprim\u00eda y se filtraba a dos bots de Telegram diferentes mantenidos por el actor de la amenaza.<\/p>\n<p>Por otra parte, un componente de puerta trasera presente en el malware le otorgaba al atacante acceso remoto persistente a las m\u00e1quinas de las v\u00edctimas, lo que permit\u00eda posibles ataques futuros y compromisos a largo plazo.<\/p>\n<p>La cadena de ataque abarca varias etapas, y el paquete &#8220;raydium&#8221; incluye &#8220;spl-types&#8221; como dependencia en un intento de ocultar el comportamiento malicioso y dar a los usuarios la impresi\u00f3n de que era leg\u00edtimo.<\/p>\n<p>Un aspecto notable de la campa\u00f1a es el uso de Stack Exchange como vector para impulsar la adopci\u00f3n mediante la publicaci\u00f3n de respuestas aparentemente \u00fatiles que hacen referencia al paquete en cuesti\u00f3n. <a rel=\"nofollow noopener\" href=\"https:\/\/solana.stackexchange.com\/questions\/8647\/how-to-perform-a-swap-transaction-in-raydium-with-python\" target=\"_blank\">Preguntas de desarrolladores<\/a> relacionado con la realizaci\u00f3n de transacciones de swap en Raydium usando Python.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722537852_589_Los-piratas-informaticos-distribuyen-paquetes-maliciosos-de-Python-a-traves.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1722537852_589_Los-piratas-informaticos-distribuyen-paquetes-maliciosos-de-Python-a-traves.png\" alt=\"Paquetes de Python\" border=\"0\" data-original-height=\"396\" data-original-width=\"1429\" title=\"Paquetes de Python\"\/><\/a><\/div>\n<p>&#8220;Al elegir un hilo con alta visibilidad (que obtuvo miles de visitas), el atacante maximiz\u00f3 su alcance potencial&#8221;, dijeron los investigadores, y agregaron que lo hicieron para &#8220;darle credibilidad a este paquete y asegurar su adopci\u00f3n generalizada&#8221;.<\/p>\n<p>Si bien la respuesta ya no existe en Stack Exchange, The Hacker News encontr\u00f3 referencias a &#8220;raydium&#8221; en otro <a rel=\"nofollow noopener\" href=\"https:\/\/solana.stackexchange.com\/questions\/15305\/how-can-i-swap-solana-token-in-python\" target=\"_blank\">Pregunta sin contestar<\/a> publicado en el sitio de preguntas y respuestas con fecha del 9 de julio de 2024: &#8220;He estado luchando durante noches para obtener un intercambio en la red solana ejecut\u00e1ndose en Python 3.10.2 instalado solana, soldaduras y Raydium, pero no puedo lograr que funcione&#8221;, dijo un usuario.<\/p>\n<p>Tambi\u00e9n se han hecho referencias a &#8220;raydium-sdk&#8221;. <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/@SolScribe\/how-to-buy-and-sell-tokens-on-raydium-using-python-a-step-by-step-solana-guide-5fa2a2196ce5\" target=\"_blank\">emergi\u00f3<\/a> en una publicaci\u00f3n titulada &#8220;C\u00f3mo comprar y vender tokens en Raydium usando Python: una gu\u00eda paso a paso de Solana&#8221; que fue compartida por un usuario llamado SolanaScribe en la plataforma de publicaci\u00f3n social Medium el 29 de junio de 2024.<\/p>\n<p>Actualmente no est\u00e1 claro cu\u00e1ndo se eliminaron los paquetes de PyPI, ya que otros dos usuarios respondieron a la publicaci\u00f3n de Medium en busca de ayuda del autor sobre la instalaci\u00f3n de &#8220;raydium-sdk&#8221; hace apenas seis d\u00edas. Checkmarx le dijo a The Hacker News que la publicaci\u00f3n no es obra del actor de amenazas.<\/p>\n<p>No es la primera vez que actores maliciosos recurren a un m\u00e9todo de distribuci\u00f3n de malware de este tipo. A principios de mayo, Sonatype revel\u00f3 c\u00f3mo se promov\u00eda un paquete llamado pytoileur a trav\u00e9s de otro servicio de preguntas y respuestas llamado Stack Overflow para facilitar el robo de criptomonedas.<\/p>\n<p>En todo caso, este desarrollo es una prueba de que los atacantes est\u00e1n aprovechando la confianza en estas plataformas impulsadas por la comunidad para difundir malware, lo que conduce a ataques a gran escala a la cadena de suministro.<\/p>\n<p>&#8220;Un \u00fanico desarrollador comprometido puede introducir vulnerabilidades sin darse cuenta en el ecosistema de software de toda una empresa, lo que podr\u00eda afectar a toda la red corporativa&#8221;, afirmaron los investigadores. &#8220;Este ataque sirve como una llamada de atenci\u00f3n para que tanto las personas como las organizaciones reeval\u00faen sus estrategias de seguridad&#8221;.<\/p>\n<p>El desarrollo se produce despu\u00e9s de que Fortinet FortiGuard Labs detallara un paquete PyPI malicioso llamado zlibxjson que inclu\u00eda funciones para robar informaci\u00f3n confidencial, como tokens de Discord, cookies guardadas en Google Chrome, Mozilla Firefox, Brave y Opera, y contrase\u00f1as almacenadas de los navegadores. La biblioteca atrajo un total de <a rel=\"nofollow noopener\" href=\"https:\/\/www.pepy.tech\/projects\/zlibxjson\" target=\"_blank\">602 descargas<\/a> antes de que lo retiraran de PyPI.<\/p>\n<p>&#8220;Estas acciones pueden provocar acceso no autorizado a cuentas de usuario y la exfiltraci\u00f3n de datos personales, clasificando claramente el software como malicioso&#8221;, dijo la investigadora de seguridad Jenna Wang. <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/malicious-packages-hidden-in-pypl\" target=\"_blank\">dicho<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/hackers-distributing-malicious-python.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En otra se\u00f1al de que los actores de amenazas siempre est\u00e1n buscando nuevas formas de enga\u00f1ar a los<\/p>\n","protected":false},"author":1,"featured_media":1300680,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,34683,40916,4662,6214,4668,4667,36,34681,239182,4654,239508,4658,4659,4653,7358,18,6213,2256,3243,1780,39018,3639,4666,4665,116,158,239484],"class_list":["post-1300679","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-desarrolladores","tag-distribuyen","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-maliciosos","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-paquetes","tag-para","tag-piratas","tag-plataforma","tag-popular","tag-preguntas","tag-python","tag-respuestas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-traves","tag-una","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1300679","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1300679"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1300679\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1300680"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1300679"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1300679"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1300679"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}