Un nuevo conjunto de paquetes Python maliciosos se ha abierto camino hasta el repositorio del Índice de paquetes Python (PyPI) con el objetivo final de robar información confidencial de los sistemas de desarrollo comprometidos.
Los paquetes se hacen pasar por herramientas de ofuscación aparentemente inocuas, pero albergan un malware llamado BlazeStealer , dijo Checkmarx en un informe compartido con The Hacker News.
«[BlazeStealer] recupera un script malicioso adicional de una fuente externa, habilitando un bot de Discord que brinda a los atacantes control total sobre la computadora de la víctima», dijo el investigador de seguridad Yehuda Gelb.
La campaña, que comenzó en enero de 2023, incluye un total de ocho paquetes denominados Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse y pyobfgood, el último de los cuales se publicó en octubre.
Estos módulos vienen con archivos setup.py e init.py que están diseñados para recuperar un script de Python alojado en transfer[.]sh, que se ejecuta inmediatamente después de su instalación.
Llamado BlazeStealer, el malware ejecuta un bot de Discord y permite al actor de amenazas recopilar una amplia gama de información, incluidas contraseñas de navegadores web y capturas de pantalla, ejecutar comandos arbitrarios, cifrar archivos y desactivar Microsoft Defender Antivirus en el host infectado.
Es más, puede inutilizar la computadora aumentando el uso de la CPU, insertando un script de Windows Batch en el directorio de inicio para apagar la máquina e incluso forzando un error de pantalla azul de la muerte (BSoD).
«Es lógico que los desarrolladores involucrados en la ofuscación de código probablemente estén tratando con información valiosa y sensible y, por lo tanto, para un hacker, esto se traduce en un objetivo que vale la pena perseguir», señaló Gelb.
La mayoría de las descargas asociadas con los paquetes maliciosos se originaron en EE. UU., seguidos de China, Rusia, Irlanda, Hong Kong, Croacia, Francia y España. Se descargaron colectivamente 2.438 veces antes de ser eliminados.
«El dominio de código abierto sigue siendo un terreno fértil para la innovación, pero exige precaución», afirmó Gelb. «Los desarrolladores deben permanecer atentos y examinar los paquetes antes de su consumo».
Fuente y redacción: thehackernews.com
