Home Criptomonedas El nuevo malware PyPI “Pytoileur” roba criptomonedas y evade la detección

El nuevo malware PyPI “Pytoileur” roba criptomonedas y evade la detección

Investigadores de ciberseguridad han descubierto “pytoileur”, un paquete malicioso en el Índice de paquetes de Python (PyPI).

El paquete, que se hace pasar por una “herramienta de administración de API escrita en Python”, ocultaba código que descarga e instala archivos binarios troyanizados de Windows.

Estos binarios son capaces de vigilar, lograr persistencia y robar criptomonedas. El paquete fue descubierto por los sistemas automatizados de detección de malware de Sonatype y rápidamente eliminado después de ser marcado.

El paquete pytoileur, descargado 264 veces antes de su eliminación, utilizó técnicas engañosas para evitar la detección. Sus metadatos lo describían como un “paquete genial”, utilizando una táctica de etiquetar paquetes con descripciones vagas y atractivas para atraer a los desarrolladores a descargarlos.

Un examen más detenido, descrito en un aviso publicado hoy por Sonatype, reveló código oculto dentro del archivo de instalación del paquete, oscurecido por extensos espacios en blanco. Este código ejecutó una carga útil codificada en base64 que recuperaba un ejecutable malicioso de un servidor externo.

El binario descargado, “Runtime.exe”, aprovecha los comandos de PowerShell y VBScript para instalarse, lo que garantiza la persistencia en el sistema infectado. Emplea varias medidas antidetección para evadir el análisis de los investigadores de seguridad.

El binario es capaz de robar información y secuestrar criptomonedas, apuntar a datos de usuario almacenados en navegadores web y acceder a activos asociados con servicios de criptomonedas como Binance y Coinbase, entre otros.

Una investigación más profunda reveló que pytoileur es parte de una campaña más amplia de paquetes geniales que ha estado en marcha durante meses. Esta campaña involucra múltiples paquetes maliciosos en PyPI, todos usando tácticas similares para descargar archivos binarios troyanizados.

Por ejemplo, se han identificado paquetes como “gpt-requests” y “pyefflorer” como parte de esta campaña. Emplean técnicas de codificación base64 similares para ocultar cargas maliciosas.

Un paquete, “lalalaopti”, contenía módulos diseñados para el secuestro del portapapeles, el registro de teclas y el acceso remoto a la cámara web, lo que indica la intención maliciosa general de los atacantes.