Paquetes de Python detectados mediante descarga de DLL para eludir la seguridad

Los investigadores de ReversingLabs han descubierto paquetes de Python que utilizan la descarga de DLL para eludir las herramientas de seguridad.

El 10 de enero de 2024, Karlo Zanki, ingeniero inverso de ReversingLabs, se topó con dos paquetes sospechosos en el Índice de paquetes de Python (PyPI). Se descubrió que estos paquetes, denominados NP6HelperHttptest y NP6HelperHttper, utilizaban la descarga de DLL, una técnica conocida utilizada por actores maliciosos para ejecutar código de manera discreta y evadir la detección de las herramientas de seguridad.

Este descubrimiento subraya el panorama de amenazas en expansión dentro de las cadenas de suministro de software, con actores maliciosos que explotan las vulnerabilidades en los ecosistemas de código abierto. El incidente destaca los desafíos que enfrentan los desarrolladores al examinar la calidad y autenticidad de los módulos de código abierto, en medio del vasto y siempre cambiante panorama del código disponible.

Los paquetes maliciosos, disfrazados con nombres muy parecidos a los legítimos, tenían como objetivo engañar a los desarrolladores para que los incorporaran involuntariamente en sus proyectos. Esta táctica, conocida como typosquatting, es sólo uno de los muchos métodos empleados por los atacantes para infiltrarse en cadenas de suministro de software legítimas.

Una investigación más profunda reveló que los paquetes maliciosos apuntaban a paquetes PyPI existentes, NP6HelperHttp y NP6HelperConfig, publicados originalmente por un usuario llamado NP6. Si bien NP6 está asociado con Chapvision, una empresa de automatización de marketing, la cuenta PyPI en cuestión estaba vinculada a una cuenta personal de un desarrollador de Chapvision. El descubrimiento llevó a Chapvision a confirmar la legitimidad de las herramientas auxiliares y posteriormente eliminar los paquetes maliciosos de PyPI.

El análisis de los paquetes maliciosos descubrió un enfoque sofisticado, en el que se utilizaba un script setup.py para descargar archivos tanto legítimos como maliciosos. En particular, la DLL maliciosa (dgdeskband64.dll) fue diseñada para explotar la descarga de DLL, una técnica comúnmente empleada por los ciberdelincuentes para cargar código malicioso mientras evade la detección.

Un examen más detenido reveló una campaña más amplia, con muestras adicionales que exhibían características similares. La plataforma Titanium de ReversingLabs, que utiliza YARA Retro Hunt, identificó muestras relacionadas que indican un esfuerzo coordinado por parte de los actores de amenazas.

El código malicioso, integrado en la DLL, utilizó un controlador de excepciones para ejecutar el código shell, estableciendo una conexión con un servidor externo para descargar y ejecutar cargas útiles. La investigación también descubrió rastros de Cobalt Strike Beacon, una herramienta de seguridad del equipo rojo reutilizada por actores de amenazas para actividades maliciosas.

Este descubrimiento subraya la creciente sofisticación de los actores maliciosos que aprovechan la infraestructura de código abierto para sus campañas. Destaca la necesidad urgente de que los desarrolladores y las organizaciones fortalezcan sus cadenas de suministro de software contra tales ataques, enfatizando medidas proactivas para garantizar la integridad y seguridad de sus repositorios de código.

(Foto de David Clode en Unsplash)

Ver también: Apple está acabando con las aplicaciones web en la UE

¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Echa un vistazo a Cyber ​​Security & Cloud Expo que se celebra en Ámsterdam, California y Londres. El evento integral comparte ubicación con otros eventos líderes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo.

Además, la próxima Conferencia sobre Transformación de la Nube es un evento virtual gratuito para que los líderes empresariales y tecnológicos exploren el panorama cambiante de la transformación de la nube. Reserve su entrada virtual gratuita para explorar los aspectos prácticos y las oportunidades que rodean la adopción de la nube.

Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí.

Etiquetas: codificación, descarga lateral de dll, código abierto, código abierto, infosec, piratería informática, programación, pypi, python, reversinglabs, seguridad cibernética


Source link

About David Lopez

Check Also

Obtenga información sobre fabricación con Power BI Dashboard

:nth-last-child(7) { columna-cuadrícula: intervalo 2; /* Extender ambas columnas */ margin: 0 auto; /* Centrar …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *