PyPI

Un actor de amenazas llamado Lolip0p ha subido tres paquetes maliciosos al repositorio Python Package Index (PyPI) que están diseñados para colocar malware en sistemas de desarrolladores comprometidos.

Los paquetes, denominados colorslib (versiones 4.6.11 y 4.6.12), httpslib (versiones 4.6.9 y 4.6.11) y libhttps (versión 4.6.12), del autor entre el 7 de enero de 2023 y el 12 de enero de 2023. Desde entonces, se eliminaron de PyPI, pero no antes de que se descargaran acumulativamente más de 550 veces.

Los módulos vienen con scripts de configuración idénticos que están diseñados para invocar PowerShell y ejecutar un binario malicioso (» Oxzy.exe «) alojado en Dropbox, reveló Fortinet en un informe publicado la semana pasada.

El ejecutable, una vez iniciado, desencadena la recuperación de una etapa siguiente, también un archivo binario llamado update.exe , que se ejecuta en la carpeta temporal de Windows («%USER%\AppData\Local\Temp\»).

update.exe está marcado por los proveedores de antivirus en VirusTotal como un ladrón de información que también es capaz de eliminar archivos binarios adicionales, uno de los cuales es detectado por Microsoft como Wacatac .

El fabricante de Windows describe el troyano como una amenaza que «puede realizar una serie de acciones a elección de un pirata informático malicioso en su PC», incluida la entrega de ransomware y otras cargas útiles.

«El autor también posiciona cada paquete como legítimo y limpio al incluir una descripción convincente del proyecto», dijo el investigador de Fortinet FortiGuard Labs, Jin Lee. «Sin embargo, estos paquetes descargan y ejecutan un ejecutable binario malicioso».

La divulgación llega semanas después de que Fortinet descubriera otros dos paquetes maliciosos con los nombres de Shaderz y aioconsol que albergan capacidades similares para recopilar y filtrar información personal confidencial.

Los hallazgos demuestran una vez más el flujo constante de actividad maliciosa registrada en los repositorios de paquetes de código abierto populares, en los que los actores de amenazas se aprovechan de las relaciones de confianza para plantar código contaminado con el fin de amplificar y extender el alcance de las infecciones.

Se recomienda a los usuarios que tengan cuidado cuando se trata de descargar y ejecutar paquetes de autores que no son de confianza para evitar ser víctimas de ataques a la cadena de suministro.

Fuente y redacción: thehackernews.com

Compartir