Paquetes PyPI maliciosos introducen el malware WhiteSnake InfoStealer en Windows
Investigadores de ciberseguridad han identificado paquetes maliciosos en el repositorio de Python Package Index (PyPI) que distribuyen un malware de robo de información llamado WhiteSnake Stealer en sistemas Windows.
Los paquetes infectados incluyen nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends y TestLibs111, subidos por un actor de amenazas llamado «WS».
«Estos paquetes incorporan código fuente de PE codificado en Base64 u otros scripts de Python dentro de sus archivos setup.py».
Fortinet FortiGuard Lab
Estos paquetes contienen código fuente codificado en Base64 de ejecutables PE u otros scripts de Python, y dependiendo del sistema operativo de la víctima, se ejecuta el payload malicioso al instalar estos paquetes de Python. Recientemente, identificaron a un autor de malware en PyPI, apodado «WS», que subía discretamente paquetes maliciosos. Se estima que puede haber más de 2000 víctimas solo con los paquetes mencionados.
¿Cómo funciona el malware WhiteSnake Stealer?
El malware WhiteSnake Stealer específico para Windows tiene un mecanismo Anti-VM, se comunica con un servidor C&C a través del protocolo Tor y puede robar información de navegadores web, billeteras de criptomonedas y diversas aplicaciones.
El actor detrás de la campaña, identificado como PYTA31 por Checkmarx, tiene como objetivo principal exfiltrar datos sensibles y, en particular, información de billeteras de criptomonedas de las máquinas afectadas.
Algunos paquetes maliciosos también han sido observados incorporando funcionalidades de «clipper» para sobrescribir el contenido del portapapeles con direcciones de billeteras controladas por los atacantes, con el fin de realizar transacciones no autorizadas.
Este hallazgo destaca la capacidad de un único autor de malware para distribuir numerosos paquetes de malware de robo de información en la biblioteca PyPI con distintas complejidades en sus payloads.
¿Qué es Python Package Index (PyPI)?
El Python Package Index (PyPI) es un repositorio abierto de paquetes de software desarrollado por la comunidad de Python para facilitar el desarrollo o actualización rápido de aplicaciones. Aunque la mayoría de los paquetes subidos a PyPI son contribuciones de individuos dedicados que buscan apoyar a la comunidad de Python, actores de amenazas también publican regularmente paquetes infectados con malware. El equipo de FortiGuard Labs utiliza un sistema de detección de malware basado en inteligencia artificial para buscar y monitorear estas amenazas.
Los paquetes identificados (nigpal, figflix, telerer, seGMM, fbdebug, sGMM, myGens, NewGends y TestLibs111) muestran metodologías de ataque similares a las descritas de Checkmarx hace cuatro meses, sugiriendo una posible conexión con una campaña maliciosa de principios de 2023.
Conclusiones
La noticia llega después de que se descubrieran también dos paquetes maliciosos en el registro de paquetes npm, que utilizan GitHub para almacenar claves SSH cifradas en Base64 robadas de sistemas de desarrolladores.
Las conclusiones destacan la capacidad de un solo autor de malware para distribuir múltiples paquetes de malware de robo de información en la biblioteca PyPI con diversas complejidades en sus payloads.
Se recomienda a los usuarios ser cautelosos al utilizar paquetes de código abierto y verificar la presencia de contenido malicioso que pueda hacer que los dispositivos sean susceptibles al robo de información.
Más información:
https://www.fortinet.com/blog/threat-research/info-stealing-packages-hidden-in-pypi
https://jfrog.com/blog/new-malware-targets-python-developers-uses-tor-for-c2-communication/
https://thehackernews.com/2024/01/malicious-pypi-packages-slip-whitesnake.html
https://pypi.org/
La entrada Paquetes PyPI maliciosos introducen el malware WhiteSnake InfoStealer en Windows se publicó primero en Una al Día.
Powered by WPeMatico
