Expertos en ciberseguridad han identificado un paquete malicioso en el repositorio de Python Package Index (PyPI) que apunta a sistemas Apple macOS con la intención de robar credenciales de Google Cloud de un grupo selecto de usuarios.
El paquete, denominado «lr-utils-lib», registró un total de 59 descargas antes de ser retirado. Fue subido al registro a principios de junio de 2024.
«El malware emplea una lista de hashes predefinidos para dirigirse a máquinas macOS específicas e intenta recopilar datos de autenticación de Google Cloud. Las credenciales recolectadas se envían a un servidor remoto», explicó el investigador de Checkmarx, Yehuda Gelb, en un informe del viernes.
Un aspecto crucial del paquete es que primero verifica si está instalado en un sistema macOS, y solo entonces compara el Identificador Único Universal (UUID) del sistema con una lista codificada de 64 hashes.
Si la máquina comprometida está entre las especificadas en el conjunto predefinido, intenta acceder a dos archivos: application_default_credentials.json y credentials.db, ubicados en el directorio ~/.config/gcloud, que contienen datos de autenticación de Google Cloud.
Luego, la información capturada se transmite mediante HTTP a un servidor remoto llamado «europe-west2-workload-422915[.] cloudfunctions[.] net».
Checkmarx también informó sobre un perfil falso en LinkedIn con el nombre «Lucid Zenith» que coincidía con el propietario del paquete y afirmaba falsamente ser el CEO de Apex Companies, sugiriendo un posible elemento de ingeniería social en el ataque.
Actualmente, no se sabe con certeza quién está detrás de esta campaña. No obstante, surge más de dos meses después de que la firma de ciberseguridad Phylum revelara detalles de otro ataque a la cadena de suministro que involucraba un paquete de Python denominado «requests-darwin-lite», que también desataba sus acciones maliciosas tras verificar el UUID del host de macOS.
Estas campañas indican que los actores maliciosos tienen conocimiento previo de los sistemas macOS que desean infiltrarse y están tomando medidas para asegurar que los paquetes maliciosos se distribuyan exclusivamente a esas máquinas.
También refleja las tácticas utilizadas por los actores maliciosos para distribuir paquetes similares, con el objetivo de engañar a los desarrolladores para que los integren en sus aplicaciones.
«Aunque no está claro si este ataque se dirigió a individuos o empresas, este tipo de ataques pueden tener un impacto significativo en las empresas. Aunque el compromiso inicial suele ocurrir en la máquina de un desarrollador individual, las implicaciones para las empresas pueden ser considerables», afirmó Gelb.
