(https://i.postimg.cc/VsX2ncG2/Stackoverflow.png) (https://postimg.cc/w3TWYndk)
Los investigadores de ciberseguridad advirtieron sobre un nuevo paquete Python malicioso que se descubrió en el repositorio del Índice de paquetes Python (PyPI) para facilitar el robo de criptomonedas como parte de una campaña más amplia.
El paquete en cuestión es pytoileur, que se ha descargado 316 veces al momento de escribir este artículo. Curiosamente, el autor del paquete, que se llama PhilipsPY, ha subido una nueva versión del paquete (1.0.2) con funcionalidad idéntica después de que los mantenedores de PyPI eliminaran una versión anterior (1.0.1) el 28 de mayo de 2024.
(https://i.postimg.cc/nLsPz89R/pytoileur.png) (https://postimages.org/)
Según un análisis publicado por Sonatype, el código malicioso está incrustado en el script setup.py del paquete, lo que le permite ejecutar una carga útil codificada en Base64 que es responsable de recuperar un binario de Windows desde un servidor externo.
"El binario recuperado, 'Runtime.exe', se ejecuta aprovechando los comandos de Windows PowerShell y VBScript en el sistema", dijo el investigador de seguridad Ax Sharma.
Una vez instalado, el binario establece persistencia y elimina cargas útiles adicionales, incluido software espía y un malware ladrón capaz de recopilar datos de navegadores web y servicios de criptomonedas.
Sonatype dijo que también identificó una cuenta StackOverflow recién creada llamada "EstAYA G" que respondía a las consultas de los usuarios en la plataforma de preguntas y respuestas, indicándoles que instalaran el paquete pytoileur como una supuesta solución a sus problemas.
"Si bien la atribución definitiva es un desafío cuando se evalúan cuentas de usuario seudónimas en plataformas de Internet sin acceso a registros, la antigüedad reciente de ambas cuentas de usuario y su único propósito de publicar y promover el paquete malicioso Python nos da un buen indicativo de que están vinculadas a los mismos actores amenazantes detrás de esta campaña", dijo Sharma.
El desarrollo marca una nueva escalada en el sentido de que abusa de una plataforma creíble como vector de propagación de malware.
"El abuso abierto sin precedentes de una plataforma tan creíble, usándola como caldo de cultivo para campañas maliciosas, es una gran señal de advertencia para los desarrolladores a nivel mundial", dijo Sonatype en un comunicado.
"El compromiso de StackOverflow es especialmente preocupante dada la gran cantidad de desarrolladores novatos que tiene, que todavía están aprendiendo, haciendo preguntas y pueden dejarse engañar por consejos maliciosos".
Un examen más detenido de los metadatos del paquete y su historial de autoría ha revelado superposiciones con una campaña anterior que involucraba paquetes Python falsos como Pystob y Pywool, que fue revelada por Checkmarx en noviembre de 2023.
Los hallazgos son otro ejemplo de por qué los ecosistemas de código abierto siguen siendo un imán para los actores de amenazas que buscan comprometer varios objetivos a la vez con ladrones de información como Bladeroid y otro malware mediante lo que se llama un ataque a la cadena de suministro.
Fuente:
The Hacker News
https://thehackernews.com/2024/05/cybercriminals-abuse-stackoverflow-to.html