Un actor de amenazas ha subido al repositorio PyPI (Python Package Index) tres paquetes maliciosos que contienen código para lanzar malware de robo de información en los sistemas de los desarrolladores.

Los paquetes maliciosos, descubiertos por Fortinet, fueron subidos por el mismo autor llamado ‘Lolip0p’ entre el 7 y el 12 de enero de 2023. Sus nombres son ‘colorslib’, ‘httpslib’ y ‘libhttps’. Los tres han sido reportados y eliminados de PyPI.

Por desgracia, su popularidad lo convierte en un atractivo para los actores de amenazas que tienen como objetivo a los desarrolladores o sus proyectos. Por lo general, los paquetes maliciosos se suben haciéndose pasar por algo útil o imitan proyectos de renombre modificando su nombre.

PyPI no dispone de los recursos necesarios para analizar todos los paquetes que se suben, por lo que depende de los informes de los usuarios para encontrar y eliminar los archivos maliciosos. Sin embargo, para cuando se eliminan, los paquetes maliciosos suelen contar con varios cientos de descargas.

Nueva campaña

A diferencia de las cargas maliciosas típicas en PyPI, el trío descubierto por Fortinet incluye descripciones completas, lo que ayuda a engañar a los desarrolladores haciéndoles creer que se trata de recursos auténticos.

PyPI es el repositorio de paquetes de Python más utilizado por los desarrolladores de software para obtener los componentes básicos de sus proyectos.

En este caso, los nombres de los paquetes no imitan a otros proyectos, sino que buscan convencer de que vienen con código fiable y sin riesgos.

Según el servicio de recuento de paquetes PyPI ‘pepy.tech’, las tres entradas maliciosas tenían los siguientes recuentos de descargas en el momento en que fueron eliminadas el domingo 14 de enero.

Colorslib – 248 descargas
httpslib – 233 descargas
libhttps – 68 descargas
Aunque el número de descargas pueda parecer pequeño, el impacto potencial de estas infecciones como parte de una cadena de suministro las hace significativas.

Los tres paquetes incluyen el mismo archivo malicioso ‘setup.py’ que intenta ejecutar PowerShell que obtiene un ejecutable de una URL sospechosa, llamado ‘Oxyz.exe’. Este malware roba información del navegador.

BleepingComputer descubrió que Oxyz.exe también se propaga como un generador gratuito de Discord Nitro.

Ese segundo archivo está marcado por algunos proveedores en VirusTotal como malicioso. Fortinet dice que ‘update.exe’ deja caer varios archivos adicionales en el host, uno de los cuales (‘SearchProtocolHost.exe’), que está marcado como malicioso por algunos proveedores de AV como un ladrón de información.

Mirando un poco más allá, BleepingComputer encontró que al menos uno de los procesos caídos se utiliza para recoger tokens Discord, lo que sugiere que es parte de una campaña general de malware de robo de información utilizada para robar datos del navegador, tokens de autenticación y otros datos de un dispositivo infectado.

Los índices de detección de los tres ejecutables utilizados en este ataque son bastante bajos, oscilando entre el 4,5% y el 13,5%, lo que permite a los archivos maliciosos eludir la detección de múltiples agentes de seguridad que puedan estar ejecutándose en el host víctima.

Desafortunadamente, incluso después de eliminar esos paquetes de PyPI, las amenazas pueden volver a subirlos más tarde con un nombre diferente.

Para garantizar la seguridad de sus proyectos, los desarrolladores de software deben prestar atención a la hora de seleccionar los paquetes que van a descargar. Esto incluye comprobar los autores del paquete y revisar el código para detectar cualquier intención sospechosa o maliciosa.

Fuente: bleepingcomputer.com