Los investigadores de seguridad cibern\u00e9tica han descubierto paquetes maliciosos cargados en el repositorio del \u00edndice de paquetes de Python (PYPI) que act\u00faan como herramientas de verificaci\u00f3n para validar las direcciones de correo electr\u00f3nico robadas contra las API de Tiktok e Instagram.<\/p>\n
Los tres paquetes ya no est\u00e1n disponibles en PYPI. Los nombres de los paquetes de Python est\u00e1n a continuaci\u00f3n –<\/p>\n
- \n
- Checker-sagaf (2,605 descargas)<\/li>\n
- Steinlurks (1,049 descargas)<\/li>\n
- Sinnercore (3,300 descargas)<\/li>\n<\/ul>\n
“Fiel a su nombre, el checker-sagaf verifica si un correo electr\u00f3nico est\u00e1 asociado con una cuenta de tiktok y una cuenta de Instagram”, la investigadora de socket Olivia Brown dicho<\/a> En un an\u00e1lisis publicado la semana pasada.<\/p>\n
Espec\u00edficamente, el paquete est\u00e1 dise\u00f1ado para enviar solicitudes de publicaci\u00f3n HTTP a la API de recuperaci\u00f3n de contrase\u00f1as de Tiktok y los puntos finales de inicio de sesi\u00f3n de la cuenta de Instagram para determinar si una direcci\u00f3n de correo electr\u00f3nico aprobada como la entrada es v\u00e1lida, lo que significa que existe un titular de la cuenta correspondiente a esa direcci\u00f3n de correo electr\u00f3nico.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-roles-de-AWS-predeterminados-se-encuentran-para-permitir-el.png\")
<\/a><\/center><\/div>\n“Una vez que los actores de amenaza tienen esta informaci\u00f3n, solo que desde una direcci\u00f3n de correo electr\u00f3nico, pueden amenazar con DOX o SPAM, realizar ataques de informes falsos para suspender las cuentas o confirmar \u00fanicamente las cuentas de objetivos antes de lanzar un relleno de credencial o exploit de pulverizaci\u00f3n de contrase\u00f1a”, dijo Brown.<\/p>\n
“Las listas de usuarios validadas tambi\u00e9n se venden en la web oscura con fines de lucro. Puede parecer inofensivo construir diccionarios de correos electr\u00f3nicos activos, pero esta informaci\u00f3n habilita y acelera las cadenas de ataque enteras y minimiza la detecci\u00f3n solo al dirigirse a cuentas conocidas”. <\/p>\n
El segundo paquete “Steinlurks”, de manera similar, se dirige a las cuentas de Instagram enviando solicitudes de publicaci\u00f3n HTTP forjadas que imitan la aplicaci\u00f3n de Instagram Android para evadir la detecci\u00f3n. Logra esto apuntando a diferentes puntos finales de API –<\/p>\n
- \n
- I.instagram[.]com\/api\/v1\/ussers\/bireup\/<\/li>\n
- I.instagram[.]com\/api\/v1\/bloks\/apps\/com.bloks.www.caa.ar.search.async\/<\/li>\n
- I.instagram[.]com\/api\/v1\/cuentas\/send_recovery_flow_email\/<\/li>\n
- www.instagram[.]com\/api\/v1\/web\/cuentas\/check_email\/<\/li>\n<\/ul>\n
“Sinnercore”, por otro lado, tiene como objetivo activar el flujo de contrase\u00f1a olvidada para un nombre de usuario dado, dirigido al punto final de la API “Biinstagram[.]com\/api\/v1\/cuentas\/send_password_reset\/”con solicitudes HTTP falsas que contienen el nombre de usuario del objetivo.<\/p>\n
“Tambi\u00e9n hay funcionalidad dirigida a Telegram, a saber, extraer nombre, ID de usuario, Bio y estado premium, as\u00ed como otros atributos”, explic\u00f3 Brown.<\/p>\n
“Algunas partes de Sinnercore se centran en los servicios p\u00fablicos de criptograf\u00eda, como obtener el precio de binance en tiempo real o las conversiones de divisas. Incluso se dirige a los programadores de PYPI al obtener informaci\u00f3n detallada sobre cualquier paquete PYPI, que probablemente se use para perfiles de desarrolladores falsos o fingiendo ser desarrolladores”.<\/p>\n
La divulgaci\u00f3n se produce cuando ReversingLabs detall\u00f3 otro paquete malicioso llamado “DBGPKG” que se disfraza de una utilidad de depuraci\u00f3n pero implica una puerta trasera en el sistema del desarrollador para facilitar la ejecuci\u00f3n de c\u00f3digo y la exfiltraci\u00f3n de datos. Si bien el paquete ya no es accesible, se estima que se ha descargado unas 350 veces.<\/p>\n
Curiosamente, se ha encontrado que el paquete en cuesti\u00f3n contiene la misma carga \u00fatil que el integrado en “Discordpydebug”, que fue marcado por Socket a principios de este mes. ReversingLabs dijo que tambi\u00e9n identific\u00f3 un tercer paquete llamado “Solicitsdev” que se cree que es parte de la misma campa\u00f1a. Atrajo 76 descargas antes de ser derribado.<\/p>\n
Un an\u00e1lisis posterior ha determinado que la t\u00e9cnica de puerta trasera del paquete que usa GSocket se asemeja a la de Phoenix Hyena (tambi\u00e9n conocido como Dumpforums o Silent Crow), un grupo hacktivista conocido por atacar a las entidades rusas, incluida la web de Doctor, despu\u00e9s de la guerra rusa-Ukrainiana a principios de 2022.<\/p>\n
Si bien la atribuci\u00f3n es tentativa en el mejor de los casos, ReversingLabs se\u00f1al\u00f3 que la actividad tambi\u00e9n podr\u00eda ser el trabajo de un actor de amenaza de imitaci\u00f3n. Sin embargo, el uso de cargas \u00fatiles id\u00e9nticas y el hecho de que “Discordpydebug” se carg\u00f3 por primera vez en marzo de 2022 fortalece el caso para una posible conexi\u00f3n con Phoenix Hyena.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/1747778103_167_Los-roles-de-AWS-predeterminados-se-encuentran-para-permitir-el.png\")
<\/a><\/center><\/div>\n“Las t\u00e9cnicas maliciosas utilizadas en esta campa\u00f1a, incluido un tipo espec\u00edfico de implante de puerta trasera y el uso de la envoltura de la funci\u00f3n de Python, muestran que el actor de amenaza detr\u00e1s de ella es sofisticado y es muy cuidadoso para evitar la detecci\u00f3n”, el investigador de seguridad Karlo Zanki dicho<\/a>.<\/p>\n
“El uso del envoltorio de funciones y las herramientas como el kit de herramientas de socket global muestran que los actores de amenaza detr\u00e1s de \u00e9l tambi\u00e9n buscaban establecer una presencia a largo plazo en sistemas comprometidos sin ser notados”.<\/p>\n
![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/1747796951_36_Los-paquetes-de-PYPI-maliciosos-explotan-las-API-de-Instagram.jpg\")
<\/a><\/div>\nLos hallazgos tambi\u00e9n coinciden con el descubrimiento de un paquete NPM malicioso llamado “Koishi -Plugin -Pinhaofa” que instala un trasero de extracci\u00f3n de datos en chatbots alimentados por el Koishi<\/a> estructura. El paquete ya no est\u00e1 disponible para descargar desde NPM.<\/p>\n
“Comercializado como un ayudante de ortograf\u00eda -outocorrecta, el complemento escanea cada mensaje para una cadena hexadecimal de ocho caracteres”, el investigador de seguridad Kirill Boychenko dicho<\/a>. “Cuando encuentra uno, reenv\u00eda el mensaje completo, potencialmente que incluye secretos o credenciales integrados, a una cuenta QQ codificada”.<\/p>\n
“Ocho caracteres HEX a menudo representan hashes de confirmaci\u00f3n de git corta, tokens JWT o API truncados, SUMS de verificaci\u00f3n CRC -32, segmentos de plomo GUID o n\u00fameros de serie del dispositivo, cada uno de los cuales puede desbloquear sistemas m\u00e1s amplios o asignar activos internos. Al recolectar todo el mensaje, el actor de amenaza tambi\u00e9n recoge cualquier cicatrizaci\u00f3n de secreciones, contrase\u00f1as, urls, credenciales, tokens, o identificaciones”. “<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Los-paquetes-de-PYPI-maliciosos-explotan-las-API-de-Instagram.jpg\")
<\/a><\/center><\/div>\n