Uso de GitHub para distribuir paquetes maliciosos en PyPI en archivos de imagen

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los actores de amenazas están utilizando la esteganografía para ocultar código malicioso en las imágenes.

El equipo de ciencia de datos espectrales de Check Point CloudGuard ha detectado un nuevo paquete malicioso en el repositorio Python Package Index (PyPI) capaz de ocultar código en imágenes utilizando una técnica esteganográfica. El paquete malicioso está infectando a los usuarios a través de los proyectos de código abierto de GitHub.

La nueva alerta se produjo pocos días después de que se advirtiera a los desarrolladores de Python sobre paquetes maliciosos que intercambiaban sus direcciones criptográficas.

Análisis detallado

Según Check Point, el paquete malicioso se encontró en el repositorio de software PyPI para el lenguaje de programación Python y está diseñado para ocultar código en imágenes a través de Steganography, que se refiere a la ofuscación de código de imagen.

Imagen usada
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El modus operandi de la campaña consiste en infectar a los usuarios de PyPI a través de proyectos de código abierto que revelan que los atacantes han lanzado esta campaña con una planificación minuciosa. También destaca que las técnicas de ofuscación relacionadas con PyPI evolucionan continuamente.

Detalles del paquete malicioso

La publicación del blog de Check Point señaló que el paquete malicioso se llamaba Apicolor. Inicialmente, aparecía como un paquete en desarrollo en PyPI, pero una investigación más profunda de su script de instalación reveló una "sección de código extraña y no trivial al principio", decía el aviso.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este código instaló manualmente requisitos adicionales y descargó una imagen de la web. Luego usó el paquete recién instalado para el procesamiento de imágenes y activó la salida generada por el procesamiento con el comando exec.

Un usuario desprevenido accederá a estos proyectos de código abierto de GitHub cuando busque proyectos legítimos en la web y los instale sin saber que obtiene una importación de paquete malicioso.

    "Es importante tener en cuenta que el código parece funcionar. En algunos casos, hay paquetes maliciosos vacíos".
    Check Point

Vale la pena señalar que este paquete malicioso se diferencia de todos los paquetes descubiertos anteriormente, ya que puede camuflar sus capacidades de diferentes maneras. Además, la forma en que se dirige a los usuarios de PyPI está dirigida e infectada con importaciones maliciosas de GitHub.

Check Point insta a los usuarios a usar escáneres de códigos de amenazas y verificar dos veces los paquetes de terceros antes de usarlos. También es importante asegurarse de que las calificaciones de GitHub para un proyecto en particular no se creen sintéticamente.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta