Los investigadores de seguridad cibernética han descubierto paquetes maliciosos cargados en el repositorio del índice de paquetes de Python (PYPI) que actúan como herramientas de comprobación para validar las direcciones de correo electrónico robadas contra las API de Tiktok e Instagram.
Los tres paquetes ya no están disponibles en PYPI. Los nombres de los paquetes de Python están a continuación –
- Checker-sagaf (2,605 descargas)
- Steinlurks (1.049 descargas)
- Sinnercore (3,300 descargas)
“Fiel a su nombre, el checker-sagaf verifica si un correo electrónico está asociado con una cuenta de Tiktok y una cuenta de Instagram”, dijo la investigadora de Socket Olivia Brown en un examen publicado la semana pasada.
Específicamente, el paquete está diseñado para remitir solicitudes de publicación HTTP a la API de recuperación de contraseñas de Tiktok y los puntos finales de inicio de sesión de la cuenta de Instagram para determinar si una dirección de correo electrónico aprobada como la entrada es válida, lo que significa que existe un titular de la cuenta correspondiente a esa dirección de correo electrónico.
“Una vez que los actores de amenaza tienen esta información, solo que desde una dirección de correo electrónico, pueden amenazar con DOX o SPAM, realizar ataques de informes falsos para suspender las cuentas o confirmar nada más las cuentas de objetivos antiguamente de difundir un relleno de credencial o exploit de pulverización de contraseña”, dijo Brown.
“Las listas de usuarios validadas todavía se venden en la web oscura con fines de provecho. Puede parecer inofensivo construir diccionarios de correos electrónicos activos, pero esta información habilita y acelera las cadenas de ataque enteras y minimiza la detección solo al dirigirse a cuentas conocidas”.
El segundo paquete “Steinlurks”, de forma similar, se dirige a las cuentas de Instagram enviando solicitudes de publicación HTTP forjadas que imitan la aplicación de Instagram Android para sortear la detección. Logra esto apuntando a diferentes puntos finales de API –
- i.instagram (.) COM/API/V1/Users/Lookup/
- i.instagram (.) com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram (.) com/api/v1/cuentas/send_recovery_flow_email/
- www.instagram (.) COM/API/V1/web/cuentas/check_email/
“Sinnercore”, por otro banda, tiene como objetivo activar el flujo de contraseña olvidada para un nombre de favorecido entregado, dirigido al punto final API “Biinstagram (.) COM/API/V1/Cuentas/Send_Password_reset/” con solicitudes HTTP falsas que contienen el nombre de favorecido del objetivo.
“Igualmente hay funcionalidad dirigida a Telegram, a memorizar, extraer nombre, ID de favorecido, Bio y estado premium, así como otros atributos”, explicó Brown.
“Algunas partes de Sinnercore se centran en los servicios públicos de criptografía, como obtener el precio de binance en tiempo existente o las conversiones de divisas. Incluso se dirige a los programadores de PYPI al obtener información detallada sobre cualquier paquete PYPI, que probablemente se use para perfiles de desarrolladores falsos o fingiendo ser desarrolladores”.
La divulgación se produce cuando ReversingLabs detalló otro paquete desconfiado llamado “DBGPKG” que se disfraza de una utilidad de depuración pero implica una puerta trasera en el sistema del desarrollador para proveer la ejecución de código y la exfiltración de datos. Si adecuadamente el paquete ya no es accesible, se estima que se ha descargado unas 350 veces.
Curiosamente, se ha incompatible que el paquete en cuestión contiene la misma carga útil que el integrado en “Discordpydebug”, que fue impresionado por Socket a principios de este mes. ReversingLabs dijo que todavía identificó un tercer paquete llamado “Solicitsdev” que se cree que es parte de la misma campaña. Atrajo 76 descargas antiguamente de ser derribado.
Un examen posterior ha determinado que la técnica de puerta trasera del paquete que usa GSocket se asemeja a la de Phoenix Hyena (todavía conocido como Dumpforums o Silent Crow), un género hacktivista conocido por atacar a las entidades rusas, incluida la web de Doctor, luego de la combate rusa-Ukrainiana a principios de 2022.
Si adecuadamente la atribución es tentativa en el mejor de los casos, ReversingLabs señaló que la actividad todavía podría ser el trabajo de un actor de amenaza de imitación. Sin retención, el uso de cargas avíos idénticas y el hecho de que “Discordpydebug” se cargó por primera vez en marzo de 2022 fortalece el caso para una posible conexión con Phoenix Hyena.
“Las técnicas maliciosas utilizadas en esta campaña, incluido un tipo específico de implante de puerta trasera y el uso de la envoltorio de la función de Python, muestran que el actor de amenaza detrás de ella es sofisticado y es muy cuidadoso para evitar la detección”, dijo el investigador de seguridad Karlo Zanki.
“El uso del envoltorio de funciones y las herramientas como el kit de herramientas de socket integral muestran que los actores de amenaza detrás de él todavía buscaban establecer una presencia a generoso plazo en sistemas comprometidos sin ser notados”.
Los hallazgos todavía coinciden con el descubrimiento de un paquete NPM desconfiado llamado “Koishi -Plugin -Pinhaofa” que instala una puerta trasera de procedencia de datos en chatbots impulsados por el situación Koishi. El paquete ya no está apto para descargar desde NPM.
“Comercializado como un ayudante de ortografía, el complemento, el complemento escanea cada mensaje para una condena hexadecimal de ocho caracteres”, dijo el investigador de seguridad Kirill Boychenko. “Cuando encuentra uno, reenvía el mensaje completo, potencialmente que incluye secretos o credenciales integrados, a una cuenta QQ codificada”.
“Ocho caracteres HEX a menudo representan hashes de confirmación de git corta, tokens JWT o API truncados, SUMS de comprobación CRC -32, segmentos de plomo GUID o números de serie del dispositivo, cada uno de los cuales puede desbloquear sistemas más amplios o asignar activos internos. Al recoger todo el mensaje, el actor de amenaza todavía recoge cualquier cicatrización de secreciones, contraseñas, urls, credenciales, tokens, o identificaciones”. “
