Malware BlazeStealer descubierto en paquetes de Python en PyPI

Un nuevo conjunto de paquetes maliciosos de Python se ha colado en el repositorio Python Package Index (PyPI) con el objetivo final de robar información confidencial de los sistemas de desarrollo comprometidos.

Los paquetes se hacen pasar por herramientas de ofuscación aparentemente inofensivas, pero albergan una pieza de malware llamada BlazeStealer, dijo Checkmarx en un informe.

“[BlazeStealer] recupera un script malicioso adicional de una fuente externa, lo que permite un bot de Discord que brinda a los atacantes un control total sobre la computadora de la víctima”, dijo el investigador de seguridad Yehuda Gelb.

La campaña, que comenzó en enero de 2023, incluye un total de ocho paquetes denominados Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse y pyobfgood, el último de los cuales se publicó en octubre.

Estos módulos vienen con archivos setup.py y init.py que están diseñados para recuperar un script de Python alojado en transfer[.] sh, que se ejecuta inmediatamente después de su instalación.

Llamado BlazeStealer, el malware ejecuta un bot de Discord y permite al actor de amenazas recopilar una amplia gama de información, incluidas contraseñas de navegadores web y capturas de pantalla, ejecutar comandos arbitrarios, cifrar archivos y desactivar Microsoft Defender Antivirus en el host infectado.

Paquetes maliciosos de Python

Además, puede hacer que la computadora quede inutilizable al aumentar el uso de la CPU, insertar un script de Windows Batch en el directorio de inicio para apagar la máquina e incluso forzar un error de pantalla azul de la muerte (BSoD).

“Es lógico que los desarrolladores que se dedican a la ofuscación de código probablemente estén tratando con información valiosa y confidencial y, por lo tanto, para un hacker, esto se traduce en un objetivo que vale la pena perseguir”, señaló Gelb.

La mayoría de las descargas asociadas con los paquetes fraudulentos se originaron en los EE. UU., seguidos de China, Rusia, Irlanda, Hong Kong, Croacia, Francia y España. En conjunto, se descargaron 2.438 veces antes de ser eliminados.

“El dominio del código abierto sigue siendo un terreno fértil para la innovación, pero exige cautela”, dijo Gelb. “Los desarrolladores deben permanecer atentos y examinar los paquetes antes de consumirlos”.

El desarrollo se produce cuando la empresa de seguridad de la cadena de suministro de software Phylum descubrió una colección de módulos npm con temática criptográfica (puma-com, erc20-testenv, blockledger, cryptotransact y chainflow) con capacidades para entregar sigilosamente un malware de próxima etapa.

En los últimos años, los repositorios de código abierto se han convertido en una forma lucrativa para que los actores de amenazas propaguen malware. Según el Informe de Seguridad de la Cadena de Suministro de Evolución del Software de Phyllum para el tercer trimestre de 2023, se descubrió que 13.708 paquetes en múltiples ecosistemas ejecutaban código sospechoso durante la instalación.

“1.481 paquetes descargaron y ejecutaron subrepticiamente código desde una fuente remota”, dijo la compañía el mes pasado. “Se identificaron 10.201 paquetes que hacían referencia a URL maliciosas conocidas, [y] se identificaron 2.598 paquetes typosquat”.

Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.