Home Sociedad Paquetes maliciosos de PyPl, descargados más de 40.000 veces

Paquetes maliciosos de PyPl, descargados más de 40.000 veces

Investigadores han descubierto 11 nuevos paquetes maliciosos de código abierto que utilizan diversas técnicas avanzadas para evitar su detección en el popular repositorio PyPl.

El repositorio oficial de software de terceros de Python alberga a más de medio millón de desarrolladores, que suelen utilizar paquetes de código abierto preconstruidos para acelerar el tiempo de comercialización.

Sin embargo, los actores de las amenazas, están infiltrándose cada vez más en estas fuentes upstream para sus propios fines.

El equipo de investigación de JFrog Security reveló que había descubierto 11 nuevos paquetes de malware con más de 40.000 descargas desde PyPl. Sus autores utilizaron una serie de técnicas para permanecer ocultos y así infectar al mayor número de usuarios posible.

Entre ellas, el uso de la CDN Fastly para disfrazar el tráfico enviado a su servidor de comando y control (C2) como una comunicación legítima con pypi.org.

Otra técnica consistía en utilizar el marco TrevorC2 para que las comunicaciones cliente-servidor tuvieran un aspecto similar al de la navegación normal por un sitio web. Según JFrog, el cliente envía peticiones a intervalos aleatorios y oculta la carga maliciosa en peticiones HTTP GET de apariencia normal.

También se observó que utilizaban el tunneling de DNS, una popular técnica que utiliza las peticiones de DNS -que normalmente no son inspeccionadas por las herramientas de seguridad- como canal de comunicación entre la máquina víctima y el servidor C2.

En algunos casos, los paquetes maliciosos estaban divididos en dos: un elemento malicioso diseñado para robar tokens de autenticación de Discord y un paquete “legítimo” que no contiene funcionalidad dañina. Este último puede instalarse mediante typosquatting o “confusión de dependencias”, según el informe.

El descubrimiento se produce meses después de que el mismo equipo de investigación encontrara ocho paquetes maliciosos que ya se habían descargado 30.000 veces.