{"id":652223,"date":"2023-03-02T21:21:27","date_gmt":"2023-03-02T21:21:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-expertos-identifican-un-ladron-de-informacion-y-un-troyano-con-todas-las-funciones-en-el-paquete-de-python-en-pypi\/"},"modified":"2023-03-02T21:21:29","modified_gmt":"2023-03-02T21:21:29","slug":"los-expertos-identifican-un-ladron-de-informacion-y-un-troyano-con-todas-las-funciones-en-el-paquete-de-python-en-pypi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-expertos-identifican-un-ladron-de-informacion-y-un-troyano-con-todas-las-funciones-en-el-paquete-de-python-en-pypi\/","title":{"rendered":"Los expertos identifican un ladr\u00f3n de informaci\u00f3n y un troyano con todas las funciones en el paquete de Python en PyPI"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">02 de marzo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de software \/ CodingSec<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha descubierto que un paquete malicioso de Python cargado en Python Package Index (PyPI) contiene un ladr\u00f3n de informaci\u00f3n con todas las funciones y un troyano de acceso remoto.<\/p>\n<p>El paquete, llamado <strong>tonto del color<\/strong>fue identificado por el equipo de inteligencia de amenazas cibern\u00e9ticas de Kroll, y la compa\u00f1\u00eda llam\u00f3 al malware <strong>Dalt\u00f3nico<\/strong>.<\/p>\n<p>&#8220;El malware &#8216;Colour-Blind&#8217; apunta a la democratizaci\u00f3n del delito cibern\u00e9tico que podr\u00eda conducir a un panorama de amenazas intensificado, ya que se pueden generar m\u00faltiples variantes a partir del c\u00f3digo procedente de otros&#8221;, los investigadores de Kroll, Dave Truman y George Glass. <a rel=\"nofollow noopener\" href=\"https:\/\/www.kroll.com\/en\/insights\/publications\/cyber\/pypi-packages-deliver-python-remote-access-tools\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>colourfool, al igual que otros m\u00f3dulos falsos de Python descubiertos en los \u00faltimos meses, oculta su c\u00f3digo malicioso en el script de instalaci\u00f3n, que apunta a una carga \u00fatil de archivo ZIP alojada en Discord.<\/p>\n<p>El archivo contiene un script de Python (code.py) que viene con diferentes m\u00f3dulos dise\u00f1ados para registrar pulsaciones de teclas, robar cookies e incluso desactivar el software de seguridad.<\/p>\n<p>El malware, adem\u00e1s de realizar comprobaciones de evasi\u00f3n de defensa para determinar si se est\u00e1 ejecutando en un sandbox, establece persistencia mediante un script de Visual Basic y utiliza transferencia[.]sh para la exfiltraci\u00f3n de datos.<\/p>\n<p>&#8220;Como m\u00e9todo de control remoto, el malware inicia una aplicaci\u00f3n web Flask, que hace accesible a Internet a trav\u00e9s de la utilidad de t\u00fanel inverso de Cloudflare &#8216;cloudflared&#8217;, sin pasar por las reglas de firewall entrantes&#8221;, dijeron los investigadores.<\/p>\n<p>El uso de los t\u00faneles de Cloudflare refleja otra campa\u00f1a revelada por Phylum el mes pasado que utiliz\u00f3 seis paquetes fraudulentos para distribuir un ladr\u00f3n-cum-RAT denominado powerRAT.<\/p>\n<p>El troyano tiene muchas funciones y es capaz de recopilar contrase\u00f1as, finalizar aplicaciones, tomar capturas de pantalla, registrar pulsaciones de teclas, abrir p\u00e1ginas web arbitrarias en un navegador, ejecutar comandos, capturar datos de billetera criptogr\u00e1fica e incluso espiar a las v\u00edctimas a trav\u00e9s de la c\u00e1mara web.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/1677792087_582_Los-expertos-identifican-un-ladron-de-informacion-y-un-troyano.png\" alt=\"Paquete Python en PyPI\" border=\"0\" data-original-height=\"433\" data-original-width=\"728\" title=\"Paquete Python en PyPI\"\/><\/div>\n<p>Los hallazgos se producen cuando los actores de amenazas aprovechan el c\u00f3digo fuente asociado con el ladr\u00f3n W4SP para generar versiones de imitaci\u00f3n que son <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/how-stolen-information-stealers-are-fueling-an-underground-market\" target=\"_blank\">repartido<\/a> a trav\u00e9s de paquetes de Python como ratebypass, imagesolverpy y 3m-promo-gen-api.<\/p>\n<p>Es m\u00e1s, Phylum <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-discovers-go-based-rat-spark-being-distributed-on-pypi\" target=\"_blank\">descubierto<\/a> tres paquetes m\u00e1s, llamados pycolured, pycolurate y colurful, que se han utilizado para entregar un troyano de acceso remoto basado en Go denominado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/XZB-1248\/Spark\" target=\"_blank\">Chispa &#8211; chispear<\/a>.<\/p>\n<p>Adem\u00e1s de los ataques dirigidos a PyPI, la empresa de seguridad de la cadena de suministro de software tambi\u00e9n <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-discovers-another-attack-on-pypi\" target=\"_blank\">detalles revelados<\/a> de una campa\u00f1a de ataque masivo en la que actores de amenazas desconocidos publicaron hasta 1138 paquetes para implementar un ejecutable de Rust, que luego se usa para colocar archivos binarios de malware adicionales.<\/p>\n<p>&#8220;La propuesta de riesgo\/recompensa para los atacantes vale la pena el tiempo y el esfuerzo relativamente min\u00fasculos, si pueden aterrizar una ballena con una billetera criptogr\u00e1fica gorda&#8221;, el equipo de investigaci\u00f3n de Phylum <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/a-pypi-typosquatting-campaign-post-mortem\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Y la p\u00e9rdida de unos pocos bitcoins palidece en comparaci\u00f3n con el da\u00f1o potencial de la p\u00e9rdida de las claves SSH de un desarrollador en una gran empresa como una corporaci\u00f3n o un gobierno&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/experts-identify-fully-featured-info.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80202 de marzo de 2023\ue804Ravie Lakshman\u00e1nSeguridad de software \/ CodingSec Se ha descubierto que un paquete malicioso de<\/p>\n","protected":false},"author":1,"featured_media":652224,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,99,385,4662,11207,14811,768,4668,6346,246,4667,36,4654,4658,4659,4653,4655,1239,4663,69530,39018,4666,4665,3531,8665,4660],"class_list":["post-652223","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-expertos","tag-filtracion-de-datos","tag-funciones","tag-identifican","tag-informacion","tag-la-seguridad-informatica","tag-ladron","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-paquete","tag-programa-malicioso-ransomware","tag-pypi","tag-python","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-todas","tag-troyano","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/652223","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=652223"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/652223\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/652224"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=652223"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=652223"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=652223"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}