Investigadores de Zscaler ThreatLabz han identificado dos paquetes maliciosos, sisaws y secmeasure, en el repositorio de PyPI. Estos paquetes, dirigidos principalmente a desarrolladores de Python, tenían como objetivo distribuir un troyano de acceso remoto (RAT) llamado SilentSync. Aunque los paquetes ya han sido eliminados del repositorio, es posible que los sistemas que los instalaron ya estén comprometidos.
Cómo funciona SilentSync
El modus operandi de SilentSync se basa en un ataque a la cadena de suministro de software, aprovechando la confianza de los desarrolladores en el repositorio de PyPI.
- Descubrimiento inicial: Los paquetes maliciosos utilizaron una técnica conocida como typosquatting, imitando los nombres de paquetes legítimos. sisaws imitaba un paquete asociado al Sistema Integrado de Información Sanitaria Argentino, mientras que secmeasure se disfrazaba de una librería de seguridad.
- Función maliciosa integrada: Una vez instalados, los paquetes descargaban un script malicioso desde Pastebin. Este script se guardaba en un directorio temporal y ejecutaba la carga útil principal: SilentSync RAT.
- Capacidades del RAT: SilentSync es un malware muy peligroso con múltiples funcionalidades. Permite a los atacantes ejecutar comandos de forma remota, capturar pantallas, robar credenciales, historial, cookies y datos de autocompletar de navegadores como Chrome, Brave, Edge y Firefox. También puede exfiltrar archivos y directorios completos en formato ZIP, borrando la evidencia local después del robo.
- Persistencia y comunicación: El troyano está diseñado para ser persistente y silencioso. En Windows, modifica el registro; en Linux, altera el crontab; y en macOS, registra un LaunchAgent. Se comunica con un servidor de mando y control (C2) a través de endpoints HTTP predefinidos para recibir órdenes y enviar los datos robados.
Implicaciones del ataque
Este incidente resalta los riesgos de la cadena de suministro de software. Un desarrollador que instale o importe uno de estos paquetes puede comprometer sus proyectos, la infraestructura de su empresa y los datos de sus clientes. La operación silenciosa del malware para robar credenciales de navegadores pone en riesgo cuentas de usuario, tokens guardados y sesiones activas.
Recomendaciones
- Verifica los paquetes: Antes de instalar cualquier paquete, revisa sus reseñas, número de descargas, fecha de publicación y la reputación del autor. Evita los paquetes con nombres sospechosos.
- Usa herramientas de seguridad: Implementa herramientas que detecten componentes maliciosos en PyPI y dependencias inseguras.
- Audita tus proyectos: Si tu proyecto ya usaba estos paquetes, revisa tus sistemas en busca de conexiones salientes no autorizadas o procesos de Python que ejecuten scripts descargados.
- Aplica el principio del mínimo privilegio: Limita el acceso a los directorios y archivos sensibles para que, en caso de una intrusión, el daño sea menor.
