(https://i.postimg.cc/6q7fHxZ7/Malware.png) (https://postimages.org/)
Ese es el veredicto de la empresa de ciberseguridad Checkmarx, que declara que descubrió la campaña (atribuida a un misterioso actor de amenazas al que llama "kohlersbtuh15") en septiembre.
El ciberatacante utilizó el repositorio de software de programación Python Pypi como su teatro de operaciones, lanzando ataques utilizando tácticas de typosquatting y starjacking.
(https://i.postimg.cc/0jrNv76x/Cat-tenor.gif) (https://postimages.org/)
El primero ocurre cuando un ciberdelincuente intenta engañar a un objetivo para que haga clic en un enlace que imita un nombre de dominio legítimo, con solo un carácter alterado, para disfrazar un ataque, mientras que el segundo implica vincular un paquete malicioso a uno benigno no relacionado para propósitos similares.
"En lugar de la estrategia común de colocar código malicioso dentro de los archivos de instalación de los paquetes de Python, que se ejecutarían automáticamente al instalar el paquete, este atacante incrustó scripts maliciosos en lo profundo del paquete, dentro de funciones específicas", dijo Checkmarx. "Esto significaba que el código malicioso sólo se ejecutaría cuando se llamara a una función específica durante el uso normal".
Describió esto como un "enfoque único para ocultar código malicioso" que no sólo ayuda a ocultarlo "sino que también apunta a operaciones o funcionalidades específicas, haciendo que el ataque sea más efectivo y difícil de detectar".
Checkmarx agregó: "Además, dado que muchas herramientas de seguridad buscan scripts maliciosos ejecutables automáticamente, incorporar el código dentro de funciones aumenta la probabilidad de evadir dichas medidas de seguridad".
Otra táctica utilizada por el atacante es hacer que los paquetes envenenados de Pypi parezcan populares, en un aparente truco psicológico destinado a animar a la víctima a hacer clic en ellos, atraída por una falsa sensación de confianza.
"El starjacking y el typosquatting son métodos populares utilizados por los atacantes para aumentar las posibilidades de que sus ataques tengan éxito e infecten a tantos objetivos como sea posible", dijo Checkmarx. "Estas técnicas tienen como objetivo mejorar la credibilidad del paquete haciéndolo parecer popular y enfatizando la cantidad de otros desarrolladores que lo utilizan".
Caer en tales artimañas corre el riesgo de arruinar las redes infectadas una vez que los paquetes de malware se implantan en la codificación y también puede tener efectos en cadena más adelante, advirtió.
"En el mejor de los casos, puedes terminar infectando cuentas de desarrolladores con altos privilegios dentro de tu red", dijo Checkmarx. "Si eres menos afortunado, podrías terminar infectando a tus clientes con versiones de software comprometidas".
Fuente:
CyberNews
https://cybernews.com/security/telegram-aws-users-targeted-hidden-malware/