Encuentran 10 bibliotecas Python de robo de credenciales en el repositorio PyPi

En un nuevo caso de paquetes maliciosos que ingresan de forma sigilosa a los repositorios de códigos públicos, se eliminaron 10 módulos del índice de paquetes de Python (PyPi) por su capacidad para recopilar puntos de datos críticos, como contraseñas y tokens API.

Los paquetes «instalan ladrones de información que permiten a los atacantes robar los datos privados y las credenciales personales del desarrollador», dijo la compañía de ciberseguridad Check Point.

Los paquetes maliciosos son:

  • Ascii2text – Descarga un script malicioso que recopila contraseñas almacenadas en navegadores web como Google Chrome, Microsoft Edge, Brave, Opera y Yandex Browser.
  • Pyg-utils, Pymocks y PyProto2 – Están diseñados para robar las credenciales de AWS de los usuarios.
  • Test-async y Zlibsrc – Descargan y ejecutan código malicioso durante la instalación.
  • Free-net-vpn, Free-net-vpn2 y WINRPCexploit – Roban las credenciales de usuario y las variables de entorno.
  • Browserdiv – Recopila credenciales y otra información guardada en la carpeta de almacenamiento local del navegador web.

La divulgación es la última de una lista que crece rápidamente de casos recientes en los que los atacantes publican software no autorizado en repositorios de software ampliamente utilizados, como PyPI y Node Package Manager (NPM), con el objetivo de interrumpir la cadena de suministro de software.

Los paquetes NPM maliciosos roban tokens de Discord y datos de tarjetas bancarias

El riesgo que muestran los incidentes aumenta la necesidad de revisar y ejercer la diligencia debida antes de descargar software de código abierto y de terceros de repositorios públicos.

El mes pasado, Kaspersky reveló cuatro bibliotecas, small-sm, pern-valids, lifeculer y proc-title, en el registro del paquete NPM que contenía código malicioso de Python y JavaScript altamente ofuscado diseñado para robar tokens de Discord e información de tarjetas de crédito vinculadas.

La campaña, denominada LofyLife, demuestra cómo dichos servicios demostraron ser un vector de ataque lucrativo para que los atacantes lleguen a un número significativo de usuarios intermedios disfrazando el malware como bibliotecas aparentemente útiles.

«Los ataques a la cadena de suministro están diseñadas para explotar las relaciones de confianza entre una organización y partes externas. Estas relaciones podrían incluir asociaciones, relaciones con proveedores o el uso de software de terceros», dijeron los investigadores.

«Los actores de amenazas cibernéticas comprometerán a una organización y luego ascenderán en la cadena de suministro, aprovechando estas relaciones confiables para obtener acceso a los entornos de otras organizaciones».


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180192143715428 Nombre: Masterhacks LATAM Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *