(https://i.imgur.com/VQnBvcE.jpeg)
Investigadores de ciberseguridad han identificado paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacían pasar por herramientas legítimas, pero que en realidad servían para verificar direcciones de correo electrónico robadas a través de las APIs de TikTok e Instagram.
Paquetes maliciosos eliminados de PyPILos tres paquetes detectados han sido retirados del repositorio, pero durante su tiempo en línea fueron descargados miles de veces:
- checker-SaGaF – 2.605 descargas
- Steinlurks – 1.049 descargas
- Sinnercore – 3.300 descargas
Según la investigadora Olivia Brown de Socket, el paquete checker-SaGaF estaba diseñado para verificar si una dirección de correo electrónico estaba asociada a cuentas en TikTok e Instagram. Lo hacía enviando solicitudes HTTP POST a los puntos finales de recuperación de contraseñas y login de ambas plataformas, validando así la existencia del correo electrónico como cuenta activa.
Riesgos asociados a la validación de correos electrónicos robadosUna vez verificados, los actores de amenazas pueden usar los correos electrónicos válidos para:
- Lanzar campañas de spam o doxing
- Realizar ataques de "credential stuffing"
- Suspender cuentas mediante reportes falsos
- Vender listas de correos válidos en la dark web
Brown advierte que "aunque pueda parecer inofensivo crear diccionarios de emails activos, esta información habilita cadenas completas de ciberataques y reduce la probabilidad de detección".
Steinlurks e Instagram: evasión de detección con API falsaEl segundo paquete malicioso, steinlurks, también apuntaba a cuentas de Instagram. Simulaba la aplicación oficial de Instagram para Android con el fin de evadir mecanismos de seguridad, y accedía a múltiples endpoints de la API:
- i.instagram.com/api/v1/users/lookup/
- i.instagram.com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram.com/api/v1/accounts/send_recovery_flow_email/
- www.instagram.com/api/v1/web/accounts/check_email/
Este enfoque sofisticado permitía a los atacantes evitar mecanismos de detección automática de Instagram y verificar cuentas sin levantar alertas.
Sinnercore: objetivo múltiple con foco en Instagram, Telegram y criptomonedasEl paquete sinnercore se centraba en activar el flujo de recuperación de contraseña para usuarios de Instagram a través del endpoint:
- b.i.instagram.com/api/v1/accounts/send_password_reset/
Pero además, incluía funcionalidades para extraer datos de usuarios de Telegram, como nombre, ID, biografía y estado premium. También incorporaba utilidades relacionadas con criptomonedas, como:
- Consulta de precios en tiempo real desde Binance
- Conversión de divisas
- Extracción de información detallada de paquetes PyPI, lo que podría usarse para crear perfiles falsos de desarrolladores o suplantación de identidad.
Campañas de puerta trasera en PyPI y conexiones con Phoenix HyenaEn paralelo, ReversingLabs reveló otro paquete malicioso llamado dbgpkg, que se hacía pasar por una herramienta de depuración. Este implante incluía una puerta trasera para permitir ejecución remota de código y exfiltración de datos. Aunque fue retirado tras unas 350 descargas, contenía la misma carga útil que discordpydebug, identificado anteriormente por Socket.
También se detectó un tercer paquete sospechoso: requestsdev, con 76 descargas antes de su eliminación. Se cree que todos forman parte de una campaña coordinada.
El análisis técnico sugiere que estos paquetes utilizaban técnicas avanzadas como:
- Uso de GSocket (Global Socket Toolkit) para comunicación encubierta
- Envoltura de funciones de Python para persistencia y evasión
- Persistencia de largo plazo sin ser detectados
Estas tácticas coinciden con el modus operandi del grupo hacktivista Phoenix Hyena (también conocido como DumpForums o Silent Crow), conocido por atacar objetivos rusos como Doctor Web tras el inicio del conflicto en Ucrania en 2022.
Aunque la atribución no es concluyente, el uso de cargas útiles idénticas y la fecha de publicación de los paquetes refuerzan la hipótesis de una posible conexión con este grupo.
Amenaza también en el ecosistema npmAdemás del ecosistema Python, los investigadores han identificado paquetes maliciosos en npm, como koishi-plugin-pinhaofa, que instalan puertas traseras para exfiltrar datos desde chatbots que usan el framework Koishi.
Disfrazado como una herramienta de autocorrección ortográfica, el plugin escaneaba cada mensaje en busca de cadenas hexadecimales de 8 caracteres, que pueden representar:
- Hashes de confirmación de Git
- Tokens JWT truncados
- Credenciales API
- CRC-32 o GUIDs
Al detectar una coincidencia, reenviaba el mensaje completo a una cuenta de QQ codificada, potencialmente incluyendo secretos, contraseñas o tokens confidenciales.
Fuente: https://thehackernews.com/