Alerta desarrolladores de Python: Paquetes Maliciosos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha identificado que estos paquetes maliciosos se descargan más de 29 millones de veces al día.

Según los investigadores de seguridad de TI de Phylum, docenas de paquetes maliciosos de Python apuntan a los desarrolladores al reemplazar las direcciones criptográficas en los portapapeles de los desarrolladores.

Los investigadores de Phylum han identificado docenas de paquetes de typosquat, y también se identifica una campaña separada en la que participan varios paquetes más. Esta campaña también está dirigida a los desarrolladores y su criptomoneda.

Lo que es peor, los investigadores han descubierto que estos paquetes maliciosos se descargan más de 29 millones de veces al día.

Modus operandi

Una vez que se instala el paquete, se inicia un archivo JavaScript malicioso en el fondo de una sesión de navegación web en curso. Por lo tanto, cuando un desarrollador en el portapapeles copia una dirección de criptomoneda, se reemplaza con la dirección del atacante.

Hasta el momento, estos paquetes se han descargado más de cien veces. La carga útil de cada paquete malicioso está presente en No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Los atacantes inician la cadena de ataque obteniendo una lista de caminos interesantes. Si el usuario tiene una cuenta de administrador, el atacante agregará una ruta adicional a la lista.

Posteriormente, crearán un director de Extensión en caso de que aún no haya uno. Por último, el atacante escribirá un JavaScript ofuscado en la carpeta $APPDATA\\Extension y un manifest.json en la carpeta $APPDATA\\Extension para solicitar permisos de escritura y lectura del portapapeles.

Lista de paquetes maliciosos

La lista de paquetes se amplía constantemente en esta campaña actualmente activa. En una publicación de blog publicada el 7 de noviembre, el cofundador de Phylum y ex desarrollador de software de la NSA, Louis Lang, compartió la siguiente lista:

baeutifulsoup4

beautifulsup4

cloorama

cryptograpyh

crpytography

djangoo

ipyhton

mail-validator

mariabd

notebok

pillwo

pyautogiu

pygaem

pytorhc

python-dateuti

python-flask

python3-flask

pyyalm

rqeuests

slenium

sqlachemy

sqlalcemy

tkniter

urlllib

hello-world-exampl

hello-world-example

mysql-connector-pyhton

Peligros asociados

Después de eliminar con éxito la carga útil y obtener los permisos necesarios, el atacante puede crear un área de texto en la página y pegar el contenido del portapapeles o usar expresiones regulares para buscar formatos de direcciones de criptomonedas comunes.

Además, pueden reemplazar direcciones identificadas con direcciones controladas por atacantes en el área de texto ya creada. Cuando el desarrollador comprometido copia la dirección de una billetera, el paquete malicioso reemplaza la dirección con una dirección controlada por el atacante, lo que inadvertidamente conduce a la transferencia de fondos a la billetera del atacante.

Sin embargo, a partir de ahora, los fondos no se han transferido a ninguna de las billeteras controladas por el atacante, incluidas las siguientes:

    TRX TWStXoQpXzVL8mx1ejiVmkgeUVGjZz8LRx
    LTC LPDEYUCna9e5dYaDPYorJBXXgc43tvV9Rq
    BNB bnb1cm0pllx3c7e902mta8drjfyn0ypl7ar4ty29uv
    BTC bc1qqwkpp77ya9qavyh8sm8e4usad45fwlusg7vs5v
    ETH 0x18c36eBd7A5d9C3b88995D6872BCe11a080Bc4d9

Phylum asume que, aunque se han informado sobre los paquetes maliciosos, su número de descargas y el número de paquetes pueden seguir aumentando.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta