Los investigadores de seguridad cibernética han apto sobre una campaña maliciosa que se dirige a los usuarios del repositorio del índice de paquetes de Python (PYPI) con bibliotecas falsas disfrazadas de utilidades relacionadas con el “tiempo”, pero alberga la funcionalidad oculta para robar datos delicados como tokens de llegada a la abundancia.
La firma de seguridad de la prisión de suministro de software ReversingLabs dijo que descubrió dos conjuntos de paquetes por un total de 20 de ellos. Los paquetes se han descargado acumulativamente más de 14,100 veces –
- instantánea-foto (2,448 descargas)
- Time-Check-server (316 descargas)
- Time-check-server-get (178 descargas)
- Exploración de servicio de tiempo (144 descargas)
- Time-Server-Analyzer (74 descargas)
- Tiempo de prueba de servicio (155 descargas)
- Verificador de tiempo de tiempo (151 descargas)
- Aclient-SDK (120 descargas)
- Acloud-Client (5.496 descargas)
- Acloud-Clients (198 descargas)
- ACLOUD-CLIENT-USES (294 descargas)
- Alicloud-Client (622 descargas)
- Alicloud-Client-SDK (206 descargas)
- Amzclients-SDK (100 descargas)
- awscloud-client-core (206 descargas)
- Credential-Python-SDK (1,155 descargas)
- Enumer-IAM (1,254 descargas)
- TClients-SDK (173 descargas)
- tcloud-python-sdks (98 descargas)
- Tcloud-Python-Test (793 descargas)
Si perfectamente el primer conjunto se relaciona con los paquetes que se utilizan para cargar datos en la infraestructura del actor de amenaza, el segundo clúster consiste en paquetes que implementan funcionalidades de clientes en la abundancia para varios servicios como Alibaba Cloud, Amazon Web Services y Tencent Cloud.
Pero todavía han estado utilizando paquetes relacionados con el “tiempo” para exfiltrar los secretos de la abundancia. Todos los paquetes identificados ya se han eliminado de PYPI a partir de la escritura.
Un exploración posterior ha revelado que tres de los paquetes, Acloud-Client, Enumer-IAM y TCloud-Python-Test, han sido enumerados como dependencias de un tesina GitHub relativamente popular llamado AccessKey_Tools que se ha bifurerado 42 veces y protagonizado 519 veces.
El 8 de noviembre de 2023 se realizó una narración de compromiso de código fuente del 8 de noviembre de 2023, lo que indica que el paquete ha estado apto para descargar en Pypi desde entonces. El paquete se ha descargado 793 veces hasta la data, por estadísticas de Pepy.tech.
La divulgación se produce cuando Fortinet Fortiguard Labs dijo que descubrió miles de paquetes en PYPI y NPM, algunos de los cuales se han incompatible que incrustan scripts de instalación sospechosos diseñados para implementar un código zorro durante la instalación o comunicarse con servidores externos.
“Las URL sospechosas son un indicador secreto de paquetes potencialmente maliciosos, ya que a menudo se usan para descargar cargas bártulos adicionales o establecer comunicación con servidores de comando y control (C&C), dando a los atacantes control sobre sistemas infectados”, dijo Jenna Wang.
“En 974 paquetes, tales URL están vinculadas al aventura de exfiltración de datos, más descargas de malware y otras acciones maliciosas. Es crucial analizar y monitorear las URL externos en las dependencias de los paquetes para evitar la explotación”.
