Los atacantes continúan creando paquetes Python falsos y utilizando técnicas de ofuscación rudimentarias en un intento de infectar los sistemas de los desarrolladores con W4SP Stealer, un troyano diseñado para robar información de criptomonedas, filtrar datos confidenciales y recopilar credenciales de los sistemas de los desarrolladores.
Según un aviso publicado esta semana por la empresa de cadena de suministro de software Phylum, un actor de amenazas ha creado 29 clones de paquetes de software populares en Python Package Index (PyPI), dándoles nombres que suenan benignos o dándoles intencionalmente nombres similares a paquetes legítimos, un práctica conocida como typosquatting. Si un desarrollador descarga y carga los paquetes maliciosos, el script de instalación también instala, mediante una serie de pasos confusos, el troyano W4SP Stealer. Los paquetes representaron 5,700 descargas, dijeron los investigadores.
Si bien W4SP Stealer apunta a billeteras de criptomonedas y cuentas financieras, el objetivo más importante de las campañas actuales parece ser los secretos de los desarrolladores, dice Louis Lang, cofundador y CTO de Phylum.
"No es diferente a las campañas de phishing por correo electrónico que estamos acostumbrados a ver, sólo que esta vez los atacantes se dirigen únicamente a los desarrolladores", afirma. "Teniendo en cuenta que los desarrolladores suelen tener acceso a las joyas de la corona, un ataque exitoso puede ser devastador para una organización".
Los ataques a PyPI por parte de un actor o grupo desconocido son solo las últimas amenazas dirigidas a la cadena de suministro de software. Los componentes de software de código abierto distribuidos a través de servicios de repositorio, como PyPI y Node Package Manager (npm), son un vector de ataques popular, como El número de dependencias importadas al software ha crecido dramáticamente.. Los atacantes intentan utilizar los ecosistemas para distribuir malware a los sistemas de desarrolladores desprevenidos, como ocurrió en un ataque de 2020 al ecosistema de Ruby Gems y ataques a el ecosistema de imágenes de Docker Hub. Y en agosto, los investigadores de seguridad de Check Point Software Technologies encontré 10 paquetes PyPI que lanzó malware para robar información.
En esta última campaña, "estos paquetes son un intento más sofisticado de entregar W4SP Stealer a las máquinas de los desarrolladores de Python", investigadores de Phylum. afirmado en su análisis, y agrega: "Como se trata de un ataque continuo con tácticas en constante cambio por parte de un atacante determinado, sospechamos que veremos más malware como este apareciendo en el futuro cercano".
El ataque PyPI es un "juego de números"
Ese ataque se aprovecha de los desarrolladores que escriben mal el nombre de un paquete común o utilizan un paquete nuevo sin investigar adecuadamente la fuente del software. Un paquete malicioso, llamado "typesutil", es sólo una copia del popular paquete Python "datetime2", con algunas modificaciones.
Inicialmente, cualquier programa que importara el software malicioso ejecutaría un comando para descargar malware durante la fase de configuración, cuando Python carga las dependencias. Sin embargo, debido a que PyPI implementó ciertas comprobaciones, los atacantes comenzaron a usar espacios en blanco para enviar los comandos sospechosos fuera del rango visible normal de la mayoría de los editores de código.
"El atacante cambió ligeramente de táctica y, en lugar de simplemente arrojar la importación en un lugar obvio, la colocó muuuuy fuera de la pantalla, aprovechando el punto y coma rara vez utilizado de Python para colar el código malicioso en la misma línea que otro código legítimo", afirmó Phylum. en su análisis.
Si bien la typosquatting es un ataque de baja fidelidad con pocos éxitos, el esfuerzo cuesta poco a los atacantes en comparación con la recompensa potencial, dice Lang de Phylum.
"Es un juego de números en el que los atacantes contaminan el ecosistema de paquetes con estos paquetes maliciosos a diario", afirma. "La desafortunada realidad es que el costo de implementar uno de estos paquetes maliciosos es extremadamente bajo en relación con la recompensa potencial".
Un W4SP que pica
El objetivo final del ataque es instalar el "troyano W4SP Stealer, que roba información y enumera el sistema de la víctima, roba contraseñas almacenadas en el navegador, apunta a carteras de criptomonedas y busca archivos interesantes utilizando palabras clave como 'banco' y 'secreto'. ”, dice Lang.
"Aparte de las obvias recompensas monetarias por robar criptomonedas o información bancaria, el atacante podría utilizar parte de la información robada para promover su ataque al brindar acceso a infraestructura crítica o credenciales de desarrollador adicionales", dice.
Phylum ha logrado algunos avances en la identificación del atacante y ha enviado informes a las empresas cuya infraestructura se está utilizando.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
