Sonatype expone el paquete PyPI malicioso ‘pytoileur’

Sonatype informó sobre «pytoileur», un paquete PyPI malicioso diseñado para descargar e instalar archivos binarios de Windows que contienen troyanos capaces de vigilancia, control de la persistencia y robo de criptomonedas. Este descubrimiento es parte de una campaña más amplia de meses de duración llamada «Paquete genial» destinada a infiltrarse en la comunidad de programación. Ayer, un sistema automatizado de detección de malware operado por Sonatype, conocido como Sonatype Repository Firewall, marcó un paquete PyPI recientemente lanzado llamado «pytoileur». El paquete malicioso, rastreado como sonatype-2024-1783, había registrado 264 descargas desde su lanzamiento antes de que Sonatype alertara a los administradores de PyPI para que lo eliminaran. El paquete se describió a sí mismo como un “paquete interesante”. con una descripción HTML que indica que es «una herramienta de administración de API escrita en Python». Curiosamente, incluía una referencia a «pystob», un paquete ahora desaparecido, lo que indica un intento de manipulación tipográfica para engañar a los usuarios de paquetes legítimos como «Pyston». Malware oculto A primera vista, el archivo «setup.py» dentro de «pytoileur» parecía limpio, pero el investigador de seguridad de Sonatype, Jeff Thornhill, descubrió un código malicioso hábilmente oculto con espacios en blanco excesivos. «Aunque la codificación base64 es bastante estándar en las aplicaciones y no ofrece mucho en cuanto a enmascarar código malicioso, el autor intentó ‘ocultar’ esta cadena codificada en particular de la revisión humana manual colocándola después de una declaración impresa y luego incluyendo un espacio blanco un párrafo antes del código”, explicó Thornhill. La carga útil codificada en base64 fue diseñada para usuarios de Windows. Usé comandos de Python para descargar un ejecutable malicioso desde un servidor externo (hxxp://51.77.140[.]144:8086/dl/tiempo de ejecución). El archivo binario malicioso «Runtime.exe» se ejecuta mediante comandos de Windows PowerShell y VBScript. Este ejecutable utiliza medidas antidetección para evitar auditorías e instala software espía adicional que puede persistir, incluido el robo de información y funciones de criptojacking. Apuntando a los desarrolladores a través de StackOverflow Ax Sharma, un investigador de Sonatype, descubrió que el actor de amenazas detrás del paquete malicioso PyPI «pytoileur» está publicando respuestas falsas en StackOverflow, instando a las personas a instalar el paquete malicioso. Un actor de amenazas ahora está aconsejando a los desarrolladores de StackOverflow que buscan ayuda de depuración que instalen un paquete «pytoileur» de #Python como una «solución alternativa» a sus problemas de código. 🛑 NO caiga en esto, es una trampa: el paquete ha codificado código oculto en la línea 17 a través de espacios en blanco e infección Usuarios de Windows… pic.twitter.com/XimwkCWBkl – Ax Sharma (@Ax_Sharma) 29 de mayo de 2024 Esta preocupación se ve amplificada por Gran presencia de desarrolladores novatos en StackOverflow, que todavía están aprendiendo y pueden ser víctimas de consejos maliciosos. Enlace a ‘Paquete genial’ Una investigación más exhaustiva reveló que ‘pytoileur’ ​​es parte de una campaña más amplia vinculada a paquetes maliciosos previamente identificados. Estos paquetes, a menudo descritos simplemente como “paquetes increíbles”, han estado utilizando técnicas de engaño similares desde 2023. Se disfrazan de herramientas de administración de API o versiones simplificadas de utilidades conocidas, dirigidas a desarrolladores en diversos nichos, incluidos la inteligencia artificial y el aprendizaje automático. Uno de los paquetes anteriores, “gpt-requests”, que parecía estar dirigido a desarrolladores de inteligencia artificial, también ocultaba cargas útiles maliciosas mediante espacios en blanco. Al igual que «pytoileur», estas cargas útiles descargan archivos binarios que contienen troyanos destinados al espionaje y el robo de datos. El paquete “lalalaopti” es particularmente notable ya que contenía módulos de código Python en texto plano para el secuestro del portapapeles, el registro de teclas, el acceso remoto a la cámara web y la toma de capturas de pantalla, lo que resalta aún más las intenciones maliciosas de los autores de las amenazas detrás de esta campaña. Los investigadores de Sonatype y Checkmarx han identificado varios paquetes maliciosos vinculados a esta campaña, entre ellos: gogogolokl gpt-requests kokokoako lalalaopti pybowl pyclack pyefflorer pyhjdddo pyhulul pyioapso pyjio pyjoul pykokalalz pykooler pyktrkatoo pylioner pyminor powler pypiele pystallerer py tarlooko pytasler pytoileur pywolle pywool El renacimiento de “El La campaña “Paquete genial” a través de “pytoileur” demuestra las amenazas persistentes que plantean los actores maliciosos en los entornos de desarrollo de software. A medida que surjan amenazas similares, Sonatype afirma que seguirá ampliando sus listas de bloqueo y salvaguardando a la comunidad de desarrolladores. (Foto de Kadarius Seegars) Ver también: Phylum descubre malware dirigido oculto en un paquete Python ¿Quiere aprender más sobre ciberseguridad y nube de la mano de los líderes de la industria? Consulte la Cyber ​​​​Security & Cloud Expo que se llevará a cabo en Ámsterdam, California y Londres. El evento completo se llevará a cabo simultáneamente con otros eventos importantes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial proporcionados por TechForge aquí. Etiquetas: codificación, ciberseguridad, seguridad informática, piratería, malware, paquete, programación, pypi, Python, seguridad, stackoverflow

About Francisco

Check Also

Libro electrónico: Una guía práctica para construir una estrategia de datos e IA

Libro electrónico: Una guía práctica para crear una estrategia de datos e inteligencia artificial | …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *