Una campaña maliciosa que los investigadores observaron cada vez más compleja durante el último medio año, ha estado colocando en plataformas de código abierto cientos de paquetes de robo de información que contabilizaron alrededor de 75.000 descargas.
La campaña ha sido monitoreada desde principios de abril por analistas del equipo de Seguridad de la Cadena de Suministro de Checkmarx, quienes descubrieron 272 paquetes con código para robar datos confidenciales de sistemas específicos.
El ataque ha evolucionado significativamente desde que se identificó por primera vez, y los autores del paquete implementaron capas de ofuscación y técnicas de evasión de detección cada vez más sofisticadas.
Robo de datos y criptomonedas.
Los investigadores dicen que empezaron a ver un patrón «dentro del ecosistema Python a partir de principios de abril de 2023«.
Un ejemplo proporcionado es el archivo «_init_py«, que se carga solo después de comprobar que se está ejecutando en un sistema de destino y no en un entorno virtualizado, una señal típica de un host de análisis de malware.
Una vez que se inicia, apunta a la siguiente información sobre los sistemas infectados:
Herramientas antivirus ejecutándose en el dispositivo.
Lista de tareas, contraseñas de Wi-Fi e información del sistema.
Credenciales, historial de navegación, cookies e información de pago almacenadas en los navegadores web.
Datos en aplicaciones de billetera de criptomonedas como Atomic y Exodus.
Insignias de Discord, números de teléfono, direcciones de correo electrónico y estado de nitro.
Datos de usuario de Minecraft y Roblox.
Además, el malware puede tomar capturas de pantalla y robar archivos individuales del sistema comprometido, como los directorios de Escritorio, Imágenes, Documentos, Música, Videos y Descargas.
El portapapeles de la víctima también se monitorea constantemente en busca de direcciones de criptomonedas, y el malware las intercambia con la dirección del atacante para desviar los pagos a billeteras bajo su control.
Los analistas estiman que la campaña ha robado directamente aproximadamente 100.000 dólares en criptomonedas.
Manipulación de aplicaciones.
Checkmarx informa que el malware utilizado en esta campaña va un paso más allá de las operaciones típicas de robo de información, participando en la manipulación de datos de aplicaciones para dar un golpe más decisivo.
Por ejemplo, el archivo electrónico de la aplicación de administración de billeteras de criptomonedas Exodus se reemplaza para alterar los archivos principales, lo que permite a los atacantes eludir la Política de seguridad de contenido y filtrar datos.
En Discord, si ciertas configuraciones están habilitadas, el malware inyecta código JavaScript que se ejecuta cuando se reinicia el cliente.
El malware también emplea un script de PowerShell en una terminal elevada para manipular los «hosts» de Windows de modo que los productos de seguridad que se ejecutan en el dispositivo atacado no puedan contactar con sus servidores.
Evolución del ataque.
Según los investigadores, el código malicioso de esta campaña en los paquetes de abril era claramente visible, ya que se trataba texto plano.
Sin embargo, en mayo, los autores de los paquetes comenzaron a agregar cifrado para dificultar el análisis. En agosto, el investigador notó que se había agregado ofuscación multicapa a los paquetes.
En un informe separado del investigador de Checkmarx, Yahuda Gelb, se mencionó que dos de los paquetes más recientes utilizaban no menos de 70 capas de ofuscación.
También en agosto, los desarrolladores de malware incluyeron la capacidad de desactivar productos antivirus, agregaron Telegram a la lista de aplicaciones específicas e introdujeron un sistema alternativo de exfiltración de datos.
Los investigadores advierten que las comunidades de código abierto y los ecosistemas de desarrolladores siguen siendo susceptibles a ataques a la cadena de suministro, y los actores de amenazas cargan diariamente paquetes maliciosos en repositorios y sistemas de control de versiones ampliamente utilizados, como GitHub, o registros de paquetes como PyPi y NPM.
Se recomienda a los usuarios que examinen los proyectos y los editores de paquetes en los que confían y que estén atentos a los errores tipográficos en los nombres de los paquetes.
Fuente y redacción: underc0de.org