{"id":1655651,"date":"2025-04-05T10:17:59","date_gmt":"2025-04-05T10:17:59","guid":{"rendered":"https:\/\/teknomers.com\/es\/paquetes-de-python-maliciosos-en-pypi-descargados-mas-de-39000-veces-robar-datos-confidenciales\/"},"modified":"2025-04-05T10:18:04","modified_gmt":"2025-04-05T10:18:04","slug":"paquetes-de-python-maliciosos-en-pypi-descargados-mas-de-39000-veces-robar-datos-confidenciales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paquetes-de-python-maliciosos-en-pypi-descargados-mas-de-39000-veces-robar-datos-confidenciales\/","title":{"rendered":"Paquetes de Python maliciosos en PYPI descargados m\u00e1s de 39,000 veces, robar datos confidenciales"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>05 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ataque de malware \/ cadena de suministro<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han descubierto bibliotecas maliciosas en el repositorio de Python Package Index (PYPI) que est\u00e1n dise\u00f1ados para robar informaci\u00f3n confidencial.<\/p>\n

Dos de los paquetes, bitcoinlibdbfix y bitcoinlib-dev, estaquerada como soluciones para problemas recientes<\/a> detectado en un m\u00f3dulo de pit\u00f3n leg\u00edtimo llamado bitcoinlib, seg\u00fan Reversinglabs<\/a>. Un tercer paquete descubierto<\/a> Por Socket, Disguraya, conten\u00eda un script de cardado totalmente automatizado dirigido a las tiendas WooCommerce.<\/p>\n

Los paquetes atrajeron cientos de descargas antes de ser retirados, seg\u00fan estad\u00edsticas de Pepy.tech –<\/p>\n

“Las bibliotecas maliciosas intentan un ataque similar, sobrescribiendo el comando leg\u00edtimo ‘CLW CLI’ con c\u00f3digo malicioso que intenta exfiltrar archivos de base de datos confilados”, dijo ReversingLabs.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

En un giro interesante, se dice que los autores de las bibliotecas falsificadas se unieron a una discusi\u00f3n de problemas de GitHub e intentaron sin \u00e9xito enga\u00f1ar a los usuarios desprevenidos para que descarguen la supuesta soluci\u00f3n y ejecuci\u00f3n de la biblioteca.<\/p>\n

Por otro lado, se ha encontrado que Disguraya es abiertamente malicioso, sin hacer ning\u00fan esfuerzo para ocultar su cardado e informaci\u00f3n de tarjetas de cr\u00e9dito que roba la funcionalidad.<\/p>\n

“La carga \u00fatil maliciosa se introdujo en la versi\u00f3n 7.36.9, y todas las versiones posteriores llevaban la misma l\u00f3gica de ataque integrado”, dijo el equipo de investigaci\u00f3n de Socket.<\/p>\n

Cardadura<\/a>tambi\u00e9n llamado relleno de tarjeta de cr\u00e9dito<\/a>se refiere a una forma automatizada de fraude de pago en la que los estafadores prueban una lista masiva de informaci\u00f3n de cr\u00e9dito o tarjeta de d\u00e9bito robada contra el sistema de procesamiento de pagos de un comerciante para verificar los detalles de la tarjeta incumplidos o robados. Se encuentra en una categor\u00eda de ataque m\u00e1s amplia denominada abuso de transacciones automatizado.<\/p>\n

Una fuente t\u00edpica de los datos de la tarjeta de cr\u00e9dito robado es un foro de cardado, donde los detalles de la tarjeta de cr\u00e9dito se aplican de las v\u00edctimas que utilizan varios m\u00e9todos como phishing, skimming o malware de robador. anunciado para la venta a otros actores de amenaza<\/a> para promover la actividad criminal. <\/p>\n

Una vez que se encuentran activos (es decir, no se informan perdidos, robados o desactivados), los estafadores las usan para comprar tarjetas de regalo o tarjetas prepagas, que luego se revenden con fines de lucro. Tambi\u00e9n se sabe que los actores de amenaza prueban si las tarjetas son v\u00e1lidas al intentar peque\u00f1as transacciones en sitios de comercio electr\u00f3nico para evitar ser marcados por fraude por los propietarios de tarjetas.<\/p>\n

El paquete Rogue identificado por Socket est\u00e1 dise\u00f1ado para validar la informaci\u00f3n de la tarjeta de cr\u00e9dito robada, particularmente dirigirse a comerciantes que usan WooCommerce con Cyberseurce como la pasarela de pago.<\/p>\n

El script logra esto emulando las acciones de una actividad de compra leg\u00edtima, encontrar program\u00e1ticamente un producto, agregarlo a un carro, navegar a la p\u00e1gina de pago de WooCommerce y llenar el formulario de pago con detalles de facturaci\u00f3n aleatorios y los datos de la tarjeta de cr\u00e9dito robado.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Al imitar un proceso de pago real, la idea es probar la validez de las tarjetas saqueadas y exfiltrarse los detalles relevantes, como el n\u00famero de tarjeta de cr\u00e9dito, la fecha de vencimiento y el CVV, a un servidor externo bajo el control del atacante (“RailGunmisaka[.]com “) sin atraer la atenci\u00f3n de los sistemas de detecci\u00f3n de fraude. <\/p>\n

“Si bien el nombre podr\u00eda levantar las cejas a los hablantes nativos (‘Disgraya’ es la jerga filipina para ‘desastre’ o ‘accidente’), es una caracterizaci\u00f3n adecuada de un paquete que ejecuta un proceso de varios pasos que emulan un viaje leg\u00edtimo a trav\u00e9s de una tienda en l\u00ednea para probar cartas de cr\u00e9dito robadas contra los sistemas de verificaci\u00f3n reales sin detectar la detecci\u00f3n de craude”, dijo Socket.<\/p>\n

“Al incrustar esta l\u00f3gica dentro de un paquete de Python publicado en PYPI y descargado m\u00e1s de 34,000 veces, el atacante cre\u00f3 una herramienta modular que podr\u00eda usarse f\u00e1cilmente en marcos de automatizaci\u00f3n m\u00e1s grandes, lo que hace que Disgrasya sea una poderosa utilidad de cardado disfrazada de una biblioteca inofensiva”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n