{"id":618903,"date":"2023-02-10T19:15:42","date_gmt":"2023-02-10T19:15:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-descubren-codigo-malicioso-ofuscado-en-paquetes-pypi-python\/"},"modified":"2023-02-10T19:15:44","modified_gmt":"2023-02-10T19:15:44","slug":"investigadores-descubren-codigo-malicioso-ofuscado-en-paquetes-pypi-python","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-descubren-codigo-malicioso-ofuscado-en-paquetes-pypi-python\/","title":{"rendered":"Investigadores descubren c\u00f3digo malicioso ofuscado en paquetes PyPI Python"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 de febrero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Cadena de Suministro \/ Seguridad del Software<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Cuatro paquetes no autorizados diferentes en el \u00edndice de paquetes de Python (<b>PyPI<\/b>) han llevado a cabo una serie de acciones maliciosas, incluida la eliminaci\u00f3n de malware, la eliminaci\u00f3n de la utilidad netstat y la manipulaci\u00f3n del archivo de claves autorizadas SSH.<\/p>\n<p>Los paquetes en cuesti\u00f3n son <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/aptx\" target=\"_blank\">aptx<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/bingchilling2\" target=\"_blank\">bingchilling2<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/httops\" target=\"_blank\">htops<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/tkint3rs\" target=\"_blank\">tkint3rs<\/a>, todos los cuales se descargaron colectivamente unas 450 veces antes de que se eliminaran.  Mientras que aptx es un intento de hacerse pasar por Qualcomm <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/AptX\" target=\"_blank\">c\u00f3dec de audio muy popular<\/a> del mismo nombre, httops y tkint3rs son typosquats de https y tkinter, respectivamente.<\/p>\n<p>&#8220;La mayor\u00eda de estos paquetes ten\u00edan nombres bien pensados, para confundir a la gente a prop\u00f3sito&#8221;, el investigador de seguridad y periodista Ax Sharma. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/malicious-aptx-python-package-drops-meterpreter-shell-deletes-netstat\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Un an\u00e1lisis del c\u00f3digo malicioso inyectado en el script de instalaci\u00f3n revela la presencia de un c\u00f3digo ofuscado <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/meterpreter-advanced-powerful-metasploit-payload\/\" target=\"_blank\">Carga \u00fatil de Meterpreter<\/a> eso est\u00e1 disfrazado de &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/pypi.org\/project\/pip\/\" target=\"_blank\">pepita<\/a>&#8220;un instalador de paquetes leg\u00edtimo para Python, y se puede aprovechar para obtener acceso de shell al host infectado.<\/p>\n<p>Tambi\u00e9n se est\u00e1n tomando medidas para eliminar el <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Netstat\" target=\"_blank\">netstat<\/a> utilidad de l\u00ednea de comandos que se usa para monitorear la configuraci\u00f3n y la actividad de la red, as\u00ed como para modificar la <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-configure-ssh-key-based-authentication-on-a-linux-server\" target=\"_blank\">Archivo .ssh\/authorized_keys<\/a> para configurar una puerta trasera SSH para el acceso remoto.<\/p>\n<p>&#8220;Ahora bien, este es un ejemplo elegante pero del mundo real de malware da\u00f1ino que se abri\u00f3 paso con \u00e9xito en el ecosistema de c\u00f3digo abierto&#8221;, se\u00f1al\u00f3 Sharma.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1676056541_917_Investigadores-descubren-codigo-malicioso-ofuscado-en-paquetes-PyPI-Python.png\" alt=\"\u00cdndice de paquetes de Python\" border=\"0\" data-original-height=\"503\" data-original-width=\"728\" title=\"\u00cdndice de paquetes de Python\"\/><\/div>\n<p>Pero en una se\u00f1al de que el malware que se cuela en los repositorios de software es una amenaza recurrente, Fortinet FortiGuard Labs descubri\u00f3 cinco paquetes diferentes: <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/web3-essential\" target=\"_blank\">web3-esencial<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/3m-promo-gen-api\" target=\"_blank\">3m-promo-gen-api<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/ai-solver-gen\" target=\"_blank\">ai-solver-gen<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/hypixel-coins\" target=\"_blank\">monedas hipixel<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/httpxrequesterv2\" target=\"_blank\">httpxsolicitudv2<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/httpxrequester\" target=\"_blank\">httpxsolicitante<\/a> &#8211; que son <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/supply-chain-attack-by-new-malicious-python-package-web3-essential\" target=\"_blank\">dise\u00f1ado<\/a> a <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/supply-chain-attack-via-new-malicious-python-packages-by-malware-author-core1337\" target=\"_blank\">cosechar y exfiltrar<\/a> informaci\u00f3n sensible.<\/p>\n<p>Las revelaciones se producen cuando ReversingLabs arroja luz sobre un m\u00f3dulo npm malicioso llamado aabquerys que est\u00e1 dise\u00f1ado para hacerse pasar por el paquete abquery leg\u00edtimo para enga\u00f1ar a los desarrolladores para que lo descarguen.<\/p>\n<p>El c\u00f3digo JavaScript ofuscado, por su parte, viene con capacidades para recuperar un ejecutable de segunda etapa desde un servidor remoto que, a su vez, contiene un proxy binario de Avast (<a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/threatintel\/apt-treasure-trove-avast-suspects-chinese-apt-group-mustang-panda-is-collecting-data-from-burmese-government-agencies-and-opposition-groups\/\" target=\"_blank\">wsc_proxy.exe<\/a>) que se sabe que es vulnerable a <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Carga lateral de DLL<\/a> ataques<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1676056542_681_Investigadores-descubren-codigo-malicioso-ofuscado-en-paquetes-PyPI-Python.png\" alt=\"\u00cdndice de paquetes de Python\" border=\"0\" data-original-height=\"283\" data-original-width=\"728\" title=\"\u00cdndice de paquetes de Python\"\/><\/div>\n<p>Esto permite que el actor de amenazas invoque una biblioteca maliciosa que est\u00e1 dise\u00f1ada para obtener un componente de tercera etapa, Demon.bin, desde un servidor de comando y control (C2).<\/p>\n<p>&#8220;Demon.bin es un agente malicioso con funcionalidades t\u00edpicas de RAT (troyano de acceso remoto) que se gener\u00f3 utilizando un marco de comando y control de c\u00f3digo abierto, posterior a la explotaci\u00f3n llamado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/HavocFramework\/Havoc\" target=\"_blank\">Estragos<\/a>&#8220;, Lucija Valenti\u0107, investigadora de ReversingLabs <a rel=\"nofollow noopener\" href=\"https:\/\/www.reversinglabs.com\/blog\/open-source-malware-sows-havoc-on-supply-chain\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>Adem\u00e1s, se dice que el autor de aabquerys public\u00f3 m\u00faltiples versiones de otros dos paquetes llamados aabquery y nvm_jquery que se sospecha que son las primeras iteraciones de aabquerys.<\/p>\n<p>Havoc est\u00e1 lejos de ser el \u00fanico marco de explotaci\u00f3n de C2 detectado en la naturaleza, ya que los actores criminales aprovechan suites personalizadas como Manjusaka, Covenant, Merlin y Empire en campa\u00f1as de malware.<\/p>\n<p>Los hallazgos tambi\u00e9n subrayan la creciente <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-identifies-98-malicious-npm-packages\" target=\"_blank\">riesgo<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/malware-monthly-december-2022\" target=\"_blank\">paquetes nefastos<\/a> al acecho en repositorios de c\u00f3digo abierto como npm y PyPi, que pueden tener un impacto severo en la cadena de suministro de software.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/researchers-uncover-obfuscated.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 de febrero de 2023\ue804Ravie Lakshman\u00e1nCadena de Suministro \/ Seguridad del Software Cuatro paquetes no autorizados diferentes en<\/p>\n","protected":false},"author":1,"featured_media":618904,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,706,4664,6073,4662,12583,4668,4667,6210,4654,4658,4659,4653,4655,145662,7358,4663,69530,39018,4666,4665,4660],"class_list":["post-618903","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-codigo","tag-como-hackear","tag-descubren","tag-filtracion-de-datos","tag-investigadores","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-malicioso","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ofuscado","tag-paquetes","tag-programa-malicioso-ransomware","tag-pypi","tag-python","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/618903","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=618903"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/618903\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/618904"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=618903"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=618903"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=618903"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}