{"id":929974,"date":"2023-08-31T18:21:45","date_gmt":"2023-08-31T18:21:45","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-implementan-nuevos-paquetes-maliciosos-de-python-en-el-repositorio-de-pypi\/"},"modified":"2023-08-31T18:21:48","modified_gmt":"2023-08-31T18:21:48","slug":"hackers-norcoreanos-implementan-nuevos-paquetes-maliciosos-de-python-en-el-repositorio-de-pypi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-norcoreanos-implementan-nuevos-paquetes-maliciosos-de-python-en-el-repositorio-de-pypi\/","title":{"rendered":"Hackers norcoreanos implementan nuevos paquetes maliciosos de Python en el repositorio de PyPI"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se han descubierto tres paquetes adicionales de Python maliciosos en el repositorio de Package Index (PyPI) como parte de una campa\u00f1a en curso en la cadena de suministro de software malicioso llamada <strong>VMConectar<\/strong>con se\u00f1ales que apuntan a la participaci\u00f3n de actores de amenazas patrocinados por el estado de Corea del Norte.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/www.reversinglabs.com\/blog\/vmconnect-supply-chain-campaign-continues\" target=\"_blank\">recomendaciones<\/a> provienen de ReversingLabs, que detect\u00f3 los paquetes tablediter, request-plus y requestpro.<\/p>\n<p>VMConnect, revelado por primera vez a principios de mes por la compa\u00f1\u00eda y Sonatype, se refiere a una colecci\u00f3n de paquetes de Python que imitan herramientas populares de c\u00f3digo abierto de Python para descargar un malware desconocido de segunda etapa.<\/p>\n<p>El \u00faltimo tramo no es diferente, ReversingLabs se\u00f1al\u00f3 que los malos actores est\u00e1n disfrazando sus paquetes y haci\u00e9ndolos parecer confiables mediante el uso de t\u00e9cnicas de typosquatting para hacerse pasar por Prettytable y Requests y confundir a los desarrolladores.<\/p>\n<p>El nefasto c\u00f3digo dentro de tablediter est\u00e1 dise\u00f1ado para ejecutarse en un bucle de ejecuci\u00f3n interminable en el que un servidor remoto es sondeado peri\u00f3dicamente para recuperar y ejecutar una carga \u00fatil codificada en Base64.  Actualmente se desconoce la naturaleza exacta de la carga \u00fatil.<\/p>\n<p>Uno de los principales cambios introducidos en tablediter es el hecho de que ya no activa el c\u00f3digo malicioso inmediatamente despu\u00e9s de la instalaci\u00f3n del paquete para evadir la detecci\u00f3n por parte del software de seguridad.<\/p>\n<p>&#8220;Al esperar hasta que el paquete designado sea importado y sus funciones sean llamadas por la aplicaci\u00f3n comprometida, evitan una forma com\u00fan de detecci\u00f3n basada en el comportamiento y elevan el list\u00f3n para los posibles defensores&#8221;, dijo el investigador de seguridad Karlo Zanki.<\/p>\n<p>Los otros dos paquetes, request-plus y requestpro, incluyen la capacidad de recopilar informaci\u00f3n sobre la m\u00e1quina infectada y transmitirla a un servidor de comando y control (C2).<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/European-Bank-Customers-Targeted-in-SpyNote-Android-Trojan-Campaign.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Despu\u00e9s de este paso, el servidor responde con un token, que el host infectado env\u00eda a una URL diferente en el mismo servidor C2 y, en \u00faltima instancia, recibe a cambio un m\u00f3dulo Python con doble codificaci\u00f3n y una URL de descarga.<\/p>\n<p>Se sospecha que el m\u00f3dulo decodificado descarga la siguiente etapa del malware desde la URL proporcionada.<\/p>\n<h2 style=\"text-align: left;\">Una compleja red de conexiones que conducen a Corea del Norte<\/h2>\n<p>El uso de un enfoque basado en tokens para pasar desapercibido refleja una campa\u00f1a de npm que Phylum revel\u00f3 en junio y que desde entonces se ha asociado con actores norcoreanos.  GitHub, propiedad de Microsoft, atribuy\u00f3 los ataques a un actor de amenazas al que llama Jade Sleet, tambi\u00e9n conocido como TraderTraitor o UNC4899.<\/p>\n<p>TraderTraitor es una de las armas cibern\u00e9ticas m\u00e1s destacadas de Corea del Norte en sus esquemas de pirater\u00eda con fines de lucro, y tiene una larga y exitosa historia de apuntar a empresas de criptomonedas y otros sectores para obtener ganancias financieras.<\/p>\n<p>Las posibles conexiones plantean la posibilidad de que se trate de una t\u00e1ctica com\u00fan que los adversarios est\u00e9n adoptando para entregar selectivamente un malware de segunda etapa en funci\u00f3n de ciertos criterios de filtrado.<\/p>\n<p>Los v\u00ednculos con Corea del Norte tambi\u00e9n se ven corroborados por el hecho de que se han descubierto superposiciones de infraestructura entre la campa\u00f1a de ingenier\u00eda npm y el hackeo JumpCloud de <a rel=\"nofollow noopener\" href=\"https:\/\/www.reversinglabs.com\/blog\/more-malicious-npm-packages-found-in-wake-of-jumpcloud-supply-chain-hack\" target=\"_blank\">junio 2023<\/a>.<\/p>\n<p>Es m\u00e1s, ReversingLabs dijo que encontr\u00f3 un paquete de Python llamado py_QRcode que contiene una funcionalidad maliciosa muy similar a la que se encuentra en el paquete VMConnect.<\/p>\n<p>Se dice que py_QRcode se emple\u00f3 como punto de partida de una cadena de ataque separada dirigida a desarrolladores de negocios de intercambio de criptomonedas a finales de mayo de 2023. JPCERT\/CC, el mes pasado, lo atribuy\u00f3 a otra actividad norcoreana con nombre en c\u00f3digo SnatchCrypto (tambi\u00e9n conocido como Criptom\u00edmico o <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.jpcert.or.jp\/en\/2023\/05\/dangerouspassword.html\" target=\"_blank\">Contrase\u00f1a peligrosa<\/a>).<\/p>\n<p>&#8220;Este malware Python se ejecuta en entornos Windows, macOS y Linux, verifica la informaci\u00f3n del sistema operativo y cambia el flujo de infecci\u00f3n dependiendo de ello&#8221;, la agencia <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.jpcert.or.jp\/en\/2023\/07\/dangerouspassword_dev.html\" target=\"_blank\">dicho<\/a>describiendo al actor como \u00fanico para apuntar al entorno de desarrollador con una variedad de plataformas.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Otro aspecto destacable es que los ataques contra sistemas macOS culminaron con el despliegue de JokerSpy, una novedosa puerta trasera que sali\u00f3 a la luz por primera vez en junio de 2023.<\/p>\n<p>Eso no es todo.  En junio de 2023, la empresa de ciberseguridad SentinelOne detall\u00f3 otro malware denominado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/birminghamcyberarms\/QRLog#english\" target=\"_blank\">Registro QR<\/a> que viene con una funcionalidad id\u00e9ntica a la de py_QRcode y hace referencia al dominio www.git-hub[.]yo, que tambi\u00e9n se ha visto en relaci\u00f3n con una infecci\u00f3n de JokerSpy.<\/p>\n<p>&#8220;Las intrusiones de JokerSpy revelan un actor de amenazas con la capacidad de escribir malware funcional en varios lenguajes diferentes (Python, Java y Swift) y apuntar a m\u00faltiples plataformas de sistemas operativos&#8221;, dijo el investigador de seguridad Phil Stokes. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/jokerspy-unknown-adversary-targeting-organizations-with-multi-stage-macos-malware\/\" target=\"_blank\">anotado<\/a> En el momento.<\/p>\n<p>El investigador de ciberseguridad Mauro Eldritch, quien fue el primero en detectar el malware QRLog, <a rel=\"nofollow noopener\" href=\"https:\/\/www.clarin.com\/tecnologia\/hecho-corea-norte-descubren-nuevo-virus-funciona-molotov-digital_0_fR36LRX5mj.html\" target=\"_blank\">dicho<\/a> Hay evidencia que sugiere que la aplicaci\u00f3n generadora de c\u00f3digos QR con trampa explosiva es obra de un adversario conocido como Labyrinth Chollima, que es un subgrupo dentro del infame Grupo Lazarus.<\/p>\n<p>&#8220;Este es s\u00f3lo otro de una serie de ataques maliciosos dirigidos a usuarios del repositorio PyPI&#8221;, dijo Zanki, y agreg\u00f3 que &#8220;los actores de amenazas contin\u00faan utilizando el repositorio Python Package Index (PyPI) como punto de distribuci\u00f3n para su malware&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/north-korean-hackers-deploy-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se han descubierto tres paquetes adicionales de Python maliciosos en el repositorio de Package Index (PyPI) como parte<\/p>\n","protected":false},"author":1,"featured_media":929975,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,4662,6369,64188,4668,201033,34681,35239,4654,201031,4659,4653,4655,2431,7358,69530,39018,7357,4666,4665,201032,4660],"class_list":["post-929974","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-hackers","tag-implementan","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-maliciosos","tag-norcoreanos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevos","tag-paquetes","tag-pypi","tag-python","tag-repositorio","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/929974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=929974"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/929974\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/929975"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=929974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=929974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=929974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}