Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Los paquetes PyPi maliciosos ‘Lolip0p’ instalan malware para robar información

Los paquetes PyPi maliciosos ‘Lolip0p’ instalan malware para robar información

por Dragora

Un actor de amenazas ha subido al repositorio PyPI (Python Package Index) tres paquetes maliciosos que llevan código para colocar malware que roba información en los sistemas de los desarrolladores.

Todos los paquetes maliciosos, descubiertos por Fortinet , fueron subidos por el mismo autor llamado ‘Lolip0p’ entre el 7 y el 12 de enero de 2023. Sus nombres son ‘colorslib’, ‘httpslib’ y ‘libhttps’. Los tres han sido reportados y eliminados del PyPI.

PyPI es el repositorio más utilizado para los paquetes de Python que los desarrolladores de software utilizan para obtener los componentes básicos de sus proyectos.

Desafortunadamente, su popularidad lo convierte en un  atractivo  para los actores de amenazas que apuntan a los desarrolladores o sus proyectos. Por lo general, los paquetes maliciosos  se cargan disfrazados de algo útil o imitan proyectos de renombre modificando su nombre .

PyPI no tiene los recursos para analizar todas las cargas de paquetes, por lo que depende de los informes de los usuarios para encontrar y eliminar archivos maliciosos. Sin embargo, cuando se eliminan, los paquetes defectuosos suelen contar con varios cientos de descargas.

Nueva campaña

A diferencia de las cargas maliciosas típicas en PyPI, el trío que descubrió Fortinet presenta descripciones completas, lo que ayuda a engañar a los desarrolladores para que crean que son recursos genuinos.

 

Descripción del paquete en PyPI
Descripción del paquete malicioso en PyPI  (Fortinet)

 

En este caso, los nombres de los paquetes no mimetizan otros proyectos sino que buscan convencer de que vienen con código confiable y libre de riesgos.

Según el servicio de recuento de estadísticas de paquetes PyPI ‘pepy.tech’, las tres entradas maliciosas tenían los siguientes recuentos de descargas cuando se eliminaron el domingo 14 de enero.

Aunque la cantidad de descargas puede parecer pequeña, el impacto potencial de estas infecciones como parte de una cadena de suministro las hace significativas.

Los tres paquetes cuentan con el mismo archivo malicioso ‘setup.py’ que intenta ejecutar PowerShell que obtiene un ejecutable de una URL sospechosa, llamada ‘Oxyz.exe’. Esta pieza de malware roba información del navegador.

BleepingComputer descubrió que Oxyz.exe también se propaga como un generador gratuito de Discord Nitro.

Ese segundo archivo está marcado por algunos proveedores en VirusTotal como malicioso. Fortinet dice que ‘update.exe’ suelta varios archivos adicionales en el host, uno de los cuales (‘SearchProtocolHost.exe’), que algunos proveedores de antivirus marcan como malicioso como un ladrón de información.

Los archivos 'update.exe' caen en el sistema host
Los archivos ‘update.exe’ caen en el host (Fortinet)

 

Mirando un poco más allá, BleepingComputer descubrió que al menos uno de los procesos descartados se usa para recopilar tokens de Discord, lo que sugiere que es parte de una campaña general de malware para robar información que se usa para robar datos del navegador, tokens de autenticación y otros datos de un dispositivo infectado. .

Las tasas de detección de los tres ejecutables utilizados en este ataque son bastante bajas, oscilando entre el 4,5 % y el 13,5 %, lo que permite que los archivos maliciosos eludan la detección de varios agentes de seguridad que pueden estar ejecutándose en el host de la víctima.

 

Detección de 'update.exe' en VirusTotal
Resultados de la detección de ‘update.exe’ en VirusTotal  (Fortinet)

 

Desafortunadamente, incluso después de eliminar esos paquetes de PyPI, los actores de amenazas aún pueden volver a cargarlos más adelante con un nombre diferente.

Para garantizar la seguridad de sus proyectos, los desarrolladores de software deben prestar atención al seleccionar paquetes para descargar. Esto incluye verificar a los autores del paquete y revisar el código para cualquier intención sospechosa o maliciosa.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!