CIBERDELINCUENTES DISTRIBUYEN LIBRERÍAS MALICIOSAS DE PYTHON

23/02/2023

BOLETÍN NRO 2023-121

Recientemente un grupo de ciberdelincuentes ha publicado paquetes de librerías falsas en el repositorio de PyPi, imitando el nombre de librerías muy populares para instalar malware con el objetivo de extraer información. Asociado a esta amenaza también se ha informado en nuestro Boletín SecureSoft-Nro. 2023-040.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Python es un lenguaje de programación muy popular el cual tiene como punto fuerte el poder integrar las funciones de librerías desarrolladas por otros programadores. Debido a esto, ciberdelincuentes han utilizado diversos repositorios como PyPi, npm y Github para distribuir librerías maliciosas, principalmente relacionas a redes y desarrollo web, ya que son las más utilizadas por los desarrolladores.

Dentro de estas librerías falsas se encuentran 2 tipos de malware, los conocidos “info stealers” que se encargan de exfiltrar información y los “downloaders” que son utilizados para descargar la siguiente etapa de un malware para infectar los sistemas. Sin embargo, todos estos paquetes comparten muchas similitudes, ya que al inspeccionarlos solo contienen algunos archivos con muy poca información para ser identificados o incluso pueden contener comentarios sobre las supuestas funcionalidades que contienen.

Realizando el análisis de un paquete denominado como “httpxv2” el cual contiene cerca de 500 líneas de código, nos damos cuenta que realmente se encarga de robar información principalmente relacionado a credenciales de Discord.

Otro paquete denominado “httpsus” se encuentra ofuscado en Base64 por lo cual resulta complicado observar su comportamiento malicioso a simple vista, dichos paquetes se ejecutan al ser importados en el código que se van a utilizar.

Similar a otros tipos de ataques los ciberdelincuentes utilizan la técnica de “typosquatting” para engañar a las personas y descargar las versiones maliciosas de las librerías oficiales.

También se intenta convencer de que estos paquetes son totalmente nuevos y representan una mejora con respecto a los ya ampliamente utilizados “requests”, “urllib”, “urllib3”, etc.

Es por ello que resulta importante que los equipos de desarrollo mantengan mapeados las librerías mas populares y aquellas que ya están volviéndose obsoletas, ya que al no recibir mayor mantenimiento, estas podrían insertar vulnerabilidades en el código que se esta desarrollando.

Indicadores de Compromiso

Para acceder a la lista completa de IOC hacer click aquí.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Python Developers Warned of Trojanized PyPI Packages Mimicking Popular Libraries
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​