Se ha descubierto un nuevo conjunto de 60 paquetes maliciosos dirigidos al ecosistema Rubygems haciéndose suceder por herramientas de automatización aparentemente inocuas para las redes sociales, los blogs o los servicios de correo para robar credenciales de usuarios desprevenidos y probablemente las revendas en foros web oscuros como el mercado ruso.
Se evalúa que la actividad está activa desde al menos en marzo de 2023, según la compañía de seguridad de la prisión de suministro de software Socket. Acumulativamente, las gemas se han descargado más de 275,000 veces.
Dicho esto, es opinar que la emblema puede no representar con precisión el número actual de sistemas comprometidos, ya que no todos los resultados de descarga en la ejecución, y es posible que varias de estas gemas se hayan descargado a una sola máquina.
“Desde al menos en marzo de 2023, un actor de amenazas que usa el apelativo Zon, Nowon, Kwonsoonje y Soonje ha publicado 60 gemas maliciosas que se hacen suceder por las herramientas de automatización para Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao y Naver”, dijo el investigador de seguridad Kirill Boychenko.
Si proporcionadamente las gemas identificadas ofrecían la funcionalidad prometida, como la publicación a abundante o la billete, incluso albergaron la funcionalidad ajuste para exfiltrar los nombres de agraciado y las contraseñas a un servidor foráneo bajo el control del actor de amenaza al mostrar una interfaz de agraciado gráfica simple para ingresar las credenciales de los usuarios.
Algunas de las gemas, como NJongto_Duo y Jongmogtolon, son notables por centrarse en las plataformas de discusión financiera, con las bibliotecas comercializadas como herramientas para inundar foros relacionados con la inversión con menciones de ticker, narrativas de existencias y compromiso sintético para amplificar la visibilidad y manipular la percepción pública.
Los servidores que se utilizan para acoger la información capturada incluyen ProgramZon (.) Com, AppSpace (.) KR y MarketingDuo (.) Co (.) Kr. Se ha antitético que estos dominios anuncian mensajes a abundante, raspado del número de teléfono y herramientas automatizadas de redes sociales.
Es probable que las víctimas de la campaña sean vendedores de sombrero de aburrido que confían en tales herramientas para ejecutar spam, optimización de motores de búsqueda (SEO) y campañas de billete que impulsan artificialmente el compromiso.
“Cada gema funciona como un infoptealer dirigido por Windows, principalmente (pero no exclusivamente) dirigido a los usuarios de Corea del Sur, como lo demuestran los II y la exfiltración en idioma coreano a los dominios .KR”, dijo Socket. “La campaña evolucionó a través de múltiples apelativo e ondas de infraestructura, lo que sugiere una operación madura y persistente”.
“Al incorporar la funcionalidad de robo de credenciales internamente de las gemas comercializadas con los usuarios de sombrero de grisos centrados en la automatización, el actor de amenaza captura ajuste datos confidenciales mientras se combina en una actividad que parece legítima”.
El explicación se produce cuando Gitlab detectó múltiples paquetes de tipogratación en el Índice de paquetes de Python (PYPI) que están diseñados para robar la criptomoneda de las billeteras Bittensor secuestrando las funciones de replanteo legítimas. Los nombres de las bibliotecas de Python, que imitan Bittensor y Bittensor -Cli, están a continuación –
- Bitensor (versiones 9.9.4 y 9.9.5)
- bittenso-cli (traducción 9.9.4)
- Qbittensor (traducción 9.9.4)
- Bittenso (traducción 9.9.5)
“Los atacantes parecen acontecer dirigido específicamente las operaciones de apuestas por razones calculadas”, dijo el equipo de investigación de vulnerabilidad de Gitlab. “Al ocultar el código astuto internamente de la funcionalidad de apuestas de aspecto lícito, los atacantes explotaron tanto los requisitos técnicos como la psicología del agraciado de las operaciones de blockchain de rutina”.
La divulgación incluso sigue nuevas restricciones impuestas por los mantenedores de PYPI para sostener a los instaladores de paquetes de Python e inspectores de los ataques de confusión que surgen de las implementaciones de analgésicos.
Dicho de modo diferente, Pypi dijo que rechazará los paquetes de Python “ruedas” (que no son más que archivos postales) que intentan explotar los ataques con zip y de contrabando de las cargas aperos maliciosas de las revisiones manuales y las herramientas de detección automatizadas.
“Esto se ha hecho en respuesta al descubrimiento de que el popular instalador UV tiene un comportamiento de cuna diferente para muchos instaladores basados en Python que utilizan la implementación del analizador ZIPS proporcionada por el módulo de biblioteca unificado ZipFile”, dijo Seth Michael Larson de la Python Software Foundation (PSF).
Pypi acreditó a Caleb Brown del equipo de seguridad de código extenso de Google y Tim Hatch de Netflix para informar el problema. Además dijo que advertirá a los usuarios cuando publiquen ruedas cuyo contenido zip no coincida con el archivo de metadatos de registro incluido.
“A posteriori de 6 meses de advertencias, el 1 de febrero de 2026, PYPI comenzará a recusar las ruedas recién cargadas cuyos contenidos postales no coinciden con el archivo de metadatos registrados incluidos”, dijo Larsen.
