{"id":783753,"date":"2023-06-01T14:53:42","date_gmt":"2023-06-01T14:53:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/paquetes-pypi-maliciosos-que-usan-codigo-de-python-compilado-para-eludir-la-deteccion\/"},"modified":"2023-06-01T14:53:45","modified_gmt":"2023-06-01T14:53:45","slug":"paquetes-pypi-maliciosos-que-usan-codigo-de-python-compilado-para-eludir-la-deteccion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/paquetes-pypi-maliciosos-que-usan-codigo-de-python-compilado-para-eludir-la-deteccion\/","title":{"rendered":"Paquetes PyPI maliciosos que usan c\u00f3digo de Python compilado para eludir la detecci\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>01 de junio de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Programaci\u00f3n \/ Cadena de suministro<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los investigadores han descubierto un nuevo ataque en el repositorio de Python Package Index (PyPI) que emplea c\u00f3digo Python compilado para eludir la detecci\u00f3n por parte de las herramientas de seguridad de aplicaciones.<\/p>\n

“Puede ser el primer ataque a la cadena de suministro que aprovecha el hecho de que los archivos de c\u00f3digo de bytes de Python (PYC) se pueden ejecutar directamente”, dijo el analista de ReversingLabs, Karlo Zanki. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

El paquete en cuesti\u00f3n es fshec2<\/strong>que se elimin\u00f3 del registro de paquetes el 17 de abril de 2023, luego de la divulgaci\u00f3n responsable el mismo d\u00eda.<\/p>\n

Los archivos PYC son archivos de c\u00f3digo de bytes compilados que genera el int\u00e9rprete de Python cuando se ejecuta un programa de Python.<\/p>\n

“Cuando se importa un m\u00f3dulo por primera vez (o cuando el archivo fuente ha cambiado desde que se cre\u00f3 el archivo compilado actual), se debe crear un archivo .pyc que contenga el c\u00f3digo compilado en un subdirectorio __pycache__ del directorio que contiene el archivo .py, ” explica<\/a> la documentaci\u00f3n de Python.<\/p>\n

El paquete, seg\u00fan la empresa de seguridad de la cadena de suministro de software, contiene tres archivos: _init_.py, main.py y full.pyc, el \u00faltimo de los cuales alberga una funcionalidad maliciosa.<\/p>\n

“El punto de entrada del paquete se encontr\u00f3 en el archivo __init__.py, que importa una funci\u00f3n del otro archivo de texto sin formato, main.py, que contiene el c\u00f3digo fuente de Python responsable de cargar el m\u00f3dulo compilado de Python ubicado en uno de los otros archivos , full.pyc”, se\u00f1al\u00f3 Zanki.<\/p>\n

\"Paquetes<\/div>\n

Esto, a su vez, se logra haciendo uso de la paquete importlib<\/a> (a diferencia de una importaci\u00f3n regular) para cargar y ejecutar el c\u00f3digo presente en el archivo .pyc.<\/p>\n

Un an\u00e1lisis de la versi\u00f3n de ingenier\u00eda inversa del archivo PYC revela que est\u00e1 configurado para recopilar nombres de usuario, nombres de host y listados de directorios, as\u00ed como para obtener comandos que se ejecutar\u00e1n en el host desde un servidor codificado (13.51.44[.]246).<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span> <\/p>\n

\ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n

Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

\u00danase a la sesi\u00f3n<\/a><\/div>\n

ReversingLabs dijo que tambi\u00e9n observ\u00f3 la descarga del m\u00f3dulo y ejecut\u00f3 otro script de Python que es responsable de obtener nuevos comandos colocados dentro de un archivo que el actor de amenazas puede modificar a voluntad para emitir diferentes instrucciones.<\/p>\n

Un examen m\u00e1s detallado del servidor de comando y control descubri\u00f3 una configuraci\u00f3n incorrecta que hizo posible descargar archivos por su ID, que est\u00e1n numerados en orden secuencial (comenzando desde 1), sin ninguna autorizaci\u00f3n. Esto indica que lo m\u00e1s probable es que el ataque no haya sido orquestado por un actor sofisticado.<\/p>\n

El desarrollo es una continuaci\u00f3n de los esfuerzos por parte de los actores de amenazas para adoptar diferentes t\u00e9cnicas de ofuscaci\u00f3n para evadir la detecci\u00f3n de las soluciones de seguridad.<\/p>\n

“Los scripts de carga como los descubiertos en el paquete fshec2 contienen una cantidad m\u00ednima de c\u00f3digo de Python y realizan una acci\u00f3n simple: cargar un m\u00f3dulo de Python compilado”, dijo Zanki. “Simplemente resulta ser un m\u00f3dulo malicioso”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n