Paquete malicioso de PyPI apunta a macOS para robar credenciales

Iniciado por Dragora, Julio 29, 2024, 10:20:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Investigadores de ciberseguridad han identificado un paquete malicioso en el repositorio Python Package Index (PyPI) que apunta a sistemas Apple macOS con el fin de robar credenciales de Google Cloud. Este paquete, denominado "lr-utils-lib", acumuló 59 descargas antes de ser retirado, tras su subida a principios de junio de 2024.

El malware emplea una lista de hashes predefinidos para atacar máquinas macOS específicas y recolectar datos de autenticación de Google Cloud, según el investigador de Checkmarx, Yehuda Gelb. Las credenciales obtenidas se envían a un servidor remoto.

Un aspecto clave del paquete es que verifica si se ha instalado en un sistema macOS, y solo entonces compara el Identificador Único Universal (UUID) del sistema con una lista codificada de 64 hashes. Si la máquina comprometida coincide con las especificadas, intenta acceder a los archivos application_default_credentials.json y credentials.db ubicados en el directorio ~/.config/gcloud, que contienen datos de autenticación de Google Cloud. La información capturada se transmite a través de HTTP a un servidor remoto en la dirección "europe-west2-workload-422915[.] cloudfunctions[.] neto".

Checkmarx también descubrió un perfil falso en LinkedIn bajo el nombre "Lucid Zenith", que coincidía con el propietario del paquete y se presentaba falsamente como el CEO de Apex Companies, sugiriendo un posible elemento de ingeniería social en el ataque.

Aunque se desconoce quién está detrás de esta campaña, el incidente se produce poco después de que Phylum, otra firma de ciberseguridad, revelara un ataque similar con un paquete de Python llamado "requests-darwin-lite", que también verificaba el UUID del host de macOS antes de ejecutar acciones maliciosas.

Estas campañas demuestran que los actores de amenazas tienen conocimiento previo de los sistemas macOS que desean infiltrar y están tomando medidas para asegurar que los paquetes maliciosos se distribuyan solo a esas máquinas específicas. Además, destacan las tácticas utilizadas para engañar a los desarrolladores a incorporar estos paquetes en sus aplicaciones.

Aunque no está claro si el ataque estaba dirigido a individuos o empresas, las implicaciones para las compañías pueden ser significativas. "El compromiso inicial generalmente ocurre en la máquina de un desarrollador individual, pero las consecuencias para las empresas pueden ser sustanciales", advirtió Gelb.

Las tácticas empleadas por los atacantes demuestran un alto nivel de sofisticación y planificación. Los ataques dirigidos a la cadena de suministro de software, como los descritos, subrayan la importancia de la seguridad en cada etapa del ciclo de desarrollo de software. Los desarrolladores deben estar especialmente atentos a los paquetes que incorporan en sus proyectos y realizar auditorías regulares de seguridad.

La comunidad de ciberseguridad recomienda varias medidas para mitigar este tipo de ataques:

  • Verificación de la autenticidad de los paquetes: Los desarrolladores deben verificar la autenticidad de los paquetes antes de incorporarlos en sus proyectos. Esto incluye revisar el historial del desarrollador y las reseñas de otros usuarios.
  • Uso de herramientas de análisis de seguridad: Implementar herramientas de análisis de seguridad en el pipeline de desarrollo puede ayudar a identificar paquetes maliciosos antes de que se integren en el código base.
  • Auditorías regulares: Realizar auditorías regulares de todos los paquetes y dependencias utilizadas en un proyecto puede ayudar a identificar y eliminar posibles amenazas de seguridad.
  • Actualización continua: Mantener todas las dependencias y paquetes actualizados con las últimas versiones y parches de seguridad es crucial para prevenir vulnerabilidades conocidas.
  • Educación y concienciación: Los equipos de desarrollo deben estar continuamente educados y conscientes de las últimas amenazas de seguridad y tácticas utilizadas por los atacantes.

Este incidente con el paquete "lr-utils-lib" es un recordatorio de que incluso los repositorios de software de confianza pueden ser vulnerables a la infiltración de paquetes maliciosos. Las organizaciones deben adoptar un enfoque proactivo y multifacético para la seguridad de sus sistemas y datos.

La identificación y eliminación de este paquete malicioso es un testimonio del trabajo incansable de los investigadores de ciberseguridad y de la importancia de la colaboración en la comunidad para proteger el ecosistema de software. Sin embargo, la lucha contra las amenazas cibernéticas es continua, y todos los involucrados en el desarrollo y la implementación de software deben mantenerse vigilantes.


Para las empresas, es crucial implementar políticas de seguridad robustas que incluyan la revisión y control de todos los componentes de software utilizados. La seguridad en la cadena de suministro de software debe ser una prioridad para prevenir incidentes que puedan comprometer datos sensibles y la integridad de los sistemas.

En resumen, la detección de paquetes maliciosos como "lr-utils-lib" subraya la necesidad de:

  • Prácticas de seguridad rigurosas en el desarrollo y la implementación de software.
  • Vigilancia continua y proactiva contra posibles amenazas.
  • Colaboración entre la comunidad de ciberseguridad para compartir información y estrategias de mitigación.

La ciberseguridad es una responsabilidad compartida que requiere el compromiso y la acción coordinada de todos los actores involucrados.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta