{"id":578455,"date":"2023-01-17T07:41:42","date_gmt":"2023-01-17T07:41:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-3-paquetes-pypi-que-propagan-malware-a-sistemas-de-desarrolladores\/"},"modified":"2023-01-17T07:41:44","modified_gmt":"2023-01-17T07:41:44","slug":"investigadores-descubren-3-paquetes-pypi-que-propagan-malware-a-sistemas-de-desarrolladores","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-3-paquetes-pypi-que-propagan-malware-a-sistemas-de-desarrolladores\/","title":{"rendered":"Investigadores descubren 3 paquetes PyPI que propagan malware a sistemas de desarrolladores"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>17 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de software \/ Cadena de suministro<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Un actor de amenazas por el nombre Lolip0p<\/strong> ha subido tres paquetes no autorizados al repositorio Python Package Index (PyPI) que est\u00e1n dise\u00f1ados para colocar malware en sistemas de desarrolladores comprometidos.<\/p>\n

Los paquetes \u2013 nombrados coloreslib<\/a> (versiones 4.6.11 y 4.6.12), httpslib<\/a> (versiones 4.6.9 y 4.6.11), y libhttps<\/a> (versi\u00f3n 4.6.12): por el autor entre el 7 de enero de 2023 y el 12 de enero de 2023. Desde entonces, se han eliminado de PyPI, pero no antes de que se hayan descargado acumulativamente m\u00e1s de 550 veces.<\/p>\n

Los m\u00f3dulos vienen con scripts de configuraci\u00f3n id\u00e9nticos que est\u00e1n dise\u00f1ados para invocar PowerShell y ejecutar un binario malicioso (“Oxzy.exe<\/a>“) alojado en Dropbox, Fortinet revelado<\/a> en un informe publicado la semana pasada.<\/p>\n

El ejecutable, una vez lanzado, desencadena la recuperaci\u00f3n de una siguiente etapa, tambi\u00e9n un binario llamado actualizar.exe<\/a>que se ejecuta en la carpeta temporal de Windows (“%USER%AppDataLocalTemp”).<\/p>\n

update.exe est\u00e1 marcado por los proveedores de antivirus en VirusTotal como un ladr\u00f3n de informaci\u00f3n que tambi\u00e9n es capaz de colocar archivos binarios adicionales, uno de los cuales es detectado por Microsoft como Wacatac<\/a>.<\/p>\n

El fabricante de Windows describe<\/a> el troyano como una amenaza que “puede realizar una serie de acciones a elecci\u00f3n de un pirata inform\u00e1tico malicioso en su PC”, incluida la entrega Secuestro de datos<\/a> y otras cargas \u00fatiles.<\/p>\n

“El autor tambi\u00e9n posiciona cada paquete como leg\u00edtimo y limpio al incluir una descripci\u00f3n convincente del proyecto”, dijo el investigador de Fortinet FortiGuard Labs, Jin Lee. “Sin embargo, estos paquetes descargan y ejecutan un ejecutable binario malicioso”.<\/p>\n

La revelaci\u00f3n llega semanas despu\u00e9s de que Fortinet descubriera otros dos paquetes maliciosos con el nombre de Shaderz<\/a> y aioconsol<\/a> que albergan capacidades similares para recopilar y exfiltrar informaci\u00f3n personal confidencial.<\/p>\n

Los hallazgos demuestran una vez m\u00e1s el flujo constante de actividad maliciosa registrada en los repositorios de paquetes de c\u00f3digo abierto populares, en los que los actores de amenazas se aprovechan de las relaciones de confianza para plantar c\u00f3digo contaminado con el fin de amplificar y extender el alcance de las infecciones.<\/p>\n

Se recomienda a los usuarios que tengan cuidado cuando se trata de descargar y ejecutar paquetes de autores que no son de confianza para evitar ser v\u00edctimas de ataques a la cadena de suministro.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n