ESET Research ha descubierto un grupo de proyectos maliciosos de Python que se distribuyen a través de PyPI, el repositorio oficial de paquetes de Python (lenguaje de programación). La amenaza se dirige tanto a sistemas Windows como a Linux y normalmente ofrece una puerta trasera personalizada con capacidades de ciberespionaje. Permite la ejecución remota de comandos y la filtración de archivos y, a veces, incluye la capacidad de tomar capturas de pantalla. En algunos casos, la carga útil final es una variante del infame W4SP Stealer, que roba datos y credenciales personales, o un simple monitor de portapapeles para robar criptomonedas, o ambos. ESET descubrió 116 archivos (distribuciones fuente y ruedas) en 53 proyectos que contienen malware. Durante el año pasado, las víctimas descargaron estos archivos más de 10,000 veces. A partir de mayo de 2023, la tasa de descarga fue de alrededor de 80 por día.
PyPI es popular entre los programadores de Python para compartir y descargar código. Dado que cualquiera puede contribuir al repositorio, puede aparecer malware, que a veces se hace pasar por bibliotecas de códigos populares y legítimas. “Algunos nombres de paquetes maliciosos se parecen a otros paquetes legítimos, pero creemos que la forma principal en que las víctimas potenciales los instalan no es mediante typosquatting, sino mediante ingeniería social, donde se les guía a través de la ejecución de pip para instalar un paquete 'interesante'. por el motivo que sea”, dice el investigador de ESET Marc-Étienne Léveillé, quien descubrió y analizó los paquetes maliciosos.
PyPI ya había eliminado la mayoría de los paquetes en el momento de la publicación de esta investigación. ESET se ha comunicado con PyPI para tomar medidas respecto de los restantes; Actualmente, todos los paquetes maliciosos conocidos están fuera de línea.
ESET ha observado a los operadores detrás de esta campaña utilizando tres técnicas para incluir código malicioso en los paquetes de Python. La primera técnica consiste en colocar un módulo de "prueba" con un código ligeramente ofuscado dentro del paquete. La segunda técnica consiste en incrustar código de PowerShell en el archivo setup.py, que normalmente los administradores de paquetes como pip ejecutan automáticamente para ayudar a instalar proyectos de Python. En la tercera técnica, los operadores no hacen ningún esfuerzo por incluir código legítimo en el paquete, de modo que sólo está presente el código malicioso, en una forma ligeramente ofuscada.
Por lo general, la carga útil final es una puerta trasera personalizada capaz de ejecutar comandos remotos, exfiltración de archivos y, a veces, la capacidad de tomar capturas de pantalla. En Windows, la puerta trasera está implementada en Python. En Linux, la puerta trasera se implementa en el lenguaje de programación Go. En algunos casos, se utiliza una variante del infame W4SP Stealer en lugar de la puerta trasera, o se utiliza un simple monitor de portapapeles para robar criptomonedas, o ambas cosas. El monitor del portapapeles apunta a las criptomonedas Bitcoin, Ethereum, Monero y Litecoin.
“Los desarrolladores de Python deberían examinar el código que descargan antes de instalarlo en sus sistemas. Esperamos que este abuso de PyPI continúe y recomendamos precaución al instalar código desde cualquier repositorio de software público”, concluye Léveillé.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://mystartupworld.com/eset-reveals-malicious-python-targeting-windows-and-linux-systems/
