Phylum descubre malware dirigido disfrazado de paquete Python

Los expertos en ciberseguridad de Phylum han detectado una carga útil maliciosa incrustada en un popular paquete Python en el repositorio de PyPI. El paquete, llamado request-darwin-lite, es una variante fraudulenta de la biblioteca de solicitudes ampliamente utilizada. El paquete request-darwin-lite fue diseñado inteligentemente para emular su contraparte legítima, pero incluía un binario Go oculto dentro de un archivo de imagen grande que pretendía ser un simple logotipo. Este archivo, un PNG etiquetado como imagen de la barra lateral, pesa inusualmente alrededor de 17 MB, en marcado contraste con el tamaño normal de alrededor de 300 kB de la versión original. Durante la instalación del paquete, si el entorno de instalación era macOS, se activaba una clase de comando especializada «PyInstall». Esta clase ejecutó un comando codificado en base64 que extrajo el UUID (Identificador único universal) del sistema. El código buscó un UUID específico, lo que indica un ataque altamente dirigido. Si el UUID no coincidía, la instalación continuaba sin implementar el malware. Esto sugiere que los atacantes estaban probando su implementación o tenían un objetivo muy específico en mente. Cuando se cumplieron las condiciones, el archivo PNG de gran tamaño se procesó para extraer el código binario oculto, que luego se convirtió en ejecutable y se ejecutó en segundo plano, dando efectivamente a los atacantes el control de la máquina. El análisis de los archivos identificó el binario como un componente de OSX/Silver, un marco C2 (comando y control) similar a Cobalt Strike pero menos conocido y, por lo tanto, menos probable de ser detectado. Phylum señaló que las versiones anteriores de este paquete incluían el gancho de instalación malicioso y el binario comprimido. Sin embargo, las versiones posteriores, identificadas como 2.28.0 y 2.28.1, habían reducido estas características agresivas; el primero ya no ejecutaba código binario tras la instalación y el segundo estaba completamente libre de componentes maliciosos. El descubrimiento dio lugar a un informe inmediato a PyPI, lo que provocó la eliminación de todas las versiones del paquete del repositorio. Esta secuencia de eventos resalta la necesidad de vigilancia en la comunidad de código abierto, donde la confusión de dependencias y los ataques dirigidos se están volviendo cada vez más sofisticados. Este incidente nos recuerda que los atacantes continúan evolucionando sus métodos para explotar los ecosistemas de código abierto, aprovechando paquetes aparentemente inocentes para distribuir malware. Se requiere una mayor conciencia y medidas preventivas en toda la comunidad tecnológica para protegerse contra estos ataques. (Foto de Tarik Haiga) Ver también: CISA genera alarma sobre falla crítica de GitLab bajo explotación activa ¿Quiere aprender más sobre ciberseguridad y nube de la mano de los líderes de la industria? Consulte la Cyber ​​​​Security & Cloud Expo que se llevará a cabo en Ámsterdam, California y Londres. El evento completo se llevará a cabo simultáneamente con otros eventos importantes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial proporcionados por TechForge aquí. Etiquetas: codificación, ciberseguridad, ciberseguridad, desarrollo, hacking, infosec, malware, phylum, programación, pypi, Python, seguridad

About Francisco

Check Also

¿Cuánto cuesta crear una aplicación como Costco?

Con el tamaño del mercado en rápido crecimiento de la industria del comercio electrónico, intentar …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *