Los investigadores descubren 3 paquetes PyPI que propagan malware a los sistemas de desarrollo

Paquetes maliciosos de PyPI

 

Un actor de amenazas llamado Lolip0p ha subido tres paquetes maliciosos al repositorio Python Package Index (PyPI) que están diseñados para colocar malware en sistemas de desarrolladores comprometidos.

Los paquetes, llamados colorslib (versiones 4.6.11 y 4.6.12), httpslib (versiones 4.6.9 y 4.6.11) y libhttps (versión 4.6.12), por el autor entre el 7 de enero de 2023 y el 12 de enero de 2023. Desde entonces han sido retirados de PyPI, pero no antes de que se descargaran acumulativamente más de 550 veces.

Los módulos vienen con scripts de configuración idénticos que están diseñados para invocar PowerShell y ejecutar un binario malicioso (“Oxzy.exe“) alojado en Dropbox, reveló Fortinet en un informe publicado la semana pasada.

El ejecutable, una vez iniciado, desencadena la recuperación de una siguiente etapa, también un binario llamado update.exe, que se ejecuta en la carpeta temporal de Windows (“%USER%\AppData\Local\Temp\”).

update.exe es marcado por los proveedores de antivirus en VirusTotal como un ladrón de información que también es capaz de eliminar binarios adicionales, uno de los cuales es detectado por Microsoft como Wacatac.

El fabricante de Windows describe el troyano como una amenaza que “puede realizar una serie de acciones de la elección de un hacker malicioso en su PC”, incluida la entrega de ransomware y otras cargas útiles.

“El autor también posiciona cada paquete como legítimo y limpio al incluir una descripción convincente del proyecto”, dijo Jin Lee, investigadora de Fortinet FortiGuard Labs. “Sin embargo, estos paquetes descargan y ejecutan un ejecutable binario malicioso”.

La revelación llega semanas después de que Fortinet descubriera otros dos paquetes deshonestos con los nombres de Shaderz y aioconsol que albergan capacidades similares para recopilar y filtrar información personal confidencial.

Los hallazgos demuestran una vez más el flujo constante de actividad maliciosa registrada en los repositorios de paquetes de código abierto populares, en los que los actores de amenazas están aprovechando las relaciones de confianza para plantar código contaminado con el fin de amplificar y extender el alcance de las infecciones.

Se recomienda a los usuarios que tengan cuidado cuando se trata de descargar y ejecutar paquetes de autores no confiables para evitar ser víctimas de ataques a la cadena de suministro.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.