{"id":1671924,"date":"2025-04-15T21:05:28","date_gmt":"2025-04-15T21:05:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-paquete-pypi-malicioso-se-dirige-a-la-api-de-comercio-mexc-para-robar-credenciales-y-redirigir-pedidos\/"},"modified":"2025-04-15T21:05:32","modified_gmt":"2025-04-15T21:05:32","slug":"el-paquete-pypi-malicioso-se-dirige-a-la-api-de-comercio-mexc-para-robar-credenciales-y-redirigir-pedidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-paquete-pypi-malicioso-se-dirige-a-la-api-de-comercio-mexc-para-robar-credenciales-y-redirigir-pedidos\/","title":{"rendered":"El paquete PYPI malicioso se dirige a la API de comercio MEXC para robar credenciales y redirigir pedidos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ataque de la cadena de suministro \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/El-paquete-PYPI-malicioso-se-dirige-a-la-API-de.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de seguridad cibern\u00e9tica han revelado un paquete malicioso cargado en el repositorio del \u00edndice de paquetes de Python (PYPI) que est\u00e1 dise\u00f1ado para redirigir \u00f3rdenes comerciales realizadas en el <a rel=\"noopener nofollow\" href=\"https:\/\/www.mexc.co\/\" target=\"_blank\">Mexc<\/a> Intercambio de criptomonedas a un servidor malicioso y robar tokens.<\/p>\n<p>El paquete, CCXT-MEXC-FUTUROS, pretende ser una extensi\u00f3n construida sobre una popular biblioteca de Python nombrada <a rel=\"noopener nofollow\" href=\"https:\/\/pypi.org\/project\/ccxt\/\" target=\"_blank\">ccxt<\/a> (Abreviatura del comercio de intercambio de criptomonedas), que se utiliza para conectarse y comerciar con varios intercambios de criptomonedas y facilitar los servicios de procesamiento de pagos.<\/p>\n<p>El paquete malicioso ya no est\u00e1 disponible en PYPI, pero las estad\u00edsticas en Pepy.tech muestran que se ha descargado al menos <a rel=\"noopener nofollow\" href=\"https:\/\/pepy.tech\/projects\/ccxt-mexc-futures\" target=\"_blank\">1.065 veces<\/a>.<\/p>\n<p>&#8220;Los autores del paquete malicioso de CCXT-MEXC-Futures, afirman en su archivo ReadMe que extiende el paquete CCXT a <a rel=\"noopener nofollow\" href=\"https:\/\/www.investopedia.com\/terms\/f\/futures.asp\" target=\"_blank\">Apoya el comercio de &#8216;futuros&#8217;<\/a> En MEXC, &#8220;Jfrog Investigador Guy Korolevski <a rel=\"noopener nofollow\" href=\"https:\/\/jfrog.com\/blog\/malicious-pypi-package-hijacks-mexc-orders-steals-crypto-tokens\/\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sin embargo, un examen m\u00e1s profundo de la biblioteca ha revelado que anula espec\u00edficamente dos API asociadas con la interfaz MEXC: contract_private_post_order_submit y contract_private_post_order_cancel, e introduce una nueva llamada SPOT4_POST_POST_ORD_ORD_PLACE.<\/p>\n<p>Al hacerlo, la idea es enga\u00f1ar a los desarrolladores para que llame a estos puntos finales de API para crear, cancelar o realizar una orden comercial en el intercambio MEXC y realizar sigilosamente acciones maliciosas en segundo plano.<\/p>\n<p>Las modificaciones maliciosas se dirigen particularmente a tres funciones diferentes relacionadas con MEXC presentes en la biblioteca CCXT original, a saber. \u05b5 Describa, firme y prepare_request_headers.<\/p>\n<p>Esto hace posible ejecutar c\u00f3digo arbitrario en la m\u00e1quina local en la que se instala el paquete, recuperando efectivamente una carga \u00fatil JSON de un dominio falso que se suxa MEXC (&#8220;v3.mexc.workers[.]dev &#8220;), que contiene una configuraci\u00f3n para dirigir las API anuladas a una plataforma de terceros maliciosa (&#8221; GreentreeOne[.]com &#8220;) en oposici\u00f3n al sitio web real de MEXC.<\/p>\n<p>&#8220;El paquete crea entradas en la API para la integraci\u00f3n de MEXC, utilizando una API que dirige las solicitudes al dominio GreentreeOne[.]com, y no el sitio de MexC mexc.com &#8220;, dijo Korolevski.<\/p>\n<p>&#8220;Todas las solicitudes se redirigen al dominio establecido por los atacantes, lo que les permite secuestrar todas las tokens criptogr\u00e1ficas de la v\u00edctima y la informaci\u00f3n confidencial transferida en la solicitud, incluidas las claves y los secretos API&#8221;.<\/p>\n<p>Adem\u00e1s, el paquete fraudulento est\u00e1 dise\u00f1ado para enviar la clave API MEXC y la clave secreta al dominio controlado por el atacante cada vez que se env\u00eda una solicitud para crear, cancelar o realizar un pedido.<\/p>\n<p>Se recomienda que los usuarios que hayan instalado los efectos de CCXT-MEXC revocen cualquier tokens potencialmente comprometido y elimine el paquete con efecto inmediato.<\/p>\n<p>El desarrollo se produce como socket <a rel=\"noopener nofollow\" href=\"https:\/\/socket.dev\/blog\/shell-usage\" target=\"_blank\">revel\u00f3<\/a> Esa amenaza que los actores est\u00e1n utilizando los ecosistemas falsificados en los ecosistemas de NPM, PYPI, GO y Maven para lanzar una capa inversa para mantener la persistencia y el exfiltrado de datos.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Los desarrolladores u organizaciones desprevenidos podr\u00edan incluir sin darse cuenta vulnerabilidades o dependencias maliciosas en su base de c\u00f3digo, lo que podr\u00eda permitir datos confidenciales o sabotaje del sistema si no se detecta&#8221;, dijo la compa\u00f1\u00eda de seguridad de la cadena de suministro de software.<\/p>\n<p>Tambi\u00e9n sigue una nueva investigaci\u00f3n que profundiza en c\u00f3mo los modelos de idiomas grandes (LLMS) que alimentan las herramientas generativas de inteligencia artificial (IA) podr\u00edan <a rel=\"noopener nofollow\" href=\"https:\/\/vulcan.io\/blog\/ai-hallucinations-package-risk\/\" target=\"_blank\">poner en peligro<\/a> La cadena de suministro de software alucinando paquetes inexistentes y recomend\u00e1ndolos a los desarrolladores.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/El-paquete-PYPI-malicioso-se-dirige-a-la-API-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/El-paquete-PYPI-malicioso-se-dirige-a-la-API-de.png\" alt=\"Paquete PYPI malicioso\" border=\"0\" data-original-height=\"632\" data-original-width=\"1495\" title=\"Paquete PYPI malicioso\"\/><\/a><\/div>\n<p>La amenaza de la cadena de suministro entra en juego cuando los actores maliciosos se registran y publican paquetes con malware con los nombres alucinados a repositorios de c\u00f3digo abierto, infectando a los sistemas de desarrolladores en el proceso, una t\u00e9cnica que se conoce como <a rel=\"noopener nofollow\" href=\"https:\/\/socket.dev\/blog\/slopsquatting-how-ai-hallucinations-are-fueling-a-new-class-of-supply-chain-attacks\" target=\"_blank\">slopsquatting<\/a>.<\/p>\n<p>El estudio acad\u00e9mico <a rel=\"noopener nofollow\" href=\"https:\/\/arxiv.org\/abs\/2406.10279\" target=\"_blank\">encontr\u00f3<\/a> que &#8220;el porcentaje promedio de paquetes alucinados es al menos 5.2% para modelos comerciales y 21.7% para modelos de c\u00f3digo abierto, incluidos los asombrosos 205,474 ejemplos \u00fanicos de nombres de paquetes alucinados, subrayando a\u00fan m\u00e1s la gravedad y la omnipresencia de esta amenaza&#8221;.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/malicious-pypi-package-targets-mexc.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 de abril de 2025\ue804Ravie LakshmananAtaque de la cadena de suministro \/ malware Los investigadores de seguridad cibern\u00e9tica<\/p>\n","protected":false},"author":1,"featured_media":1671925,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,4661,4430,4664,42020,4193,273784,6210,273783,296970,4654,273782,4659,4653,4655,1239,18,29425,69530,1436,26365,246983,4665,246984,455,239484],"class_list":["post-1671924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataques-ciberneticos","tag-comercio","tag-como-hackear","tag-credenciales","tag-dirige","tag-las-noticias-del-hacker","tag-malicioso","tag-malware-de-ransomware","tag-mexc","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-paquete","tag-para","tag-pedidos","tag-pypi","tag-redirigir","tag-robar","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1671924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1671924"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1671924\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1671925"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1671924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1671924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1671924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}