Se detectó un paquete de Python malicioso que dirigía a los desarrolladores de discordias con malware remotamente remoto (rata) en el índice de paquetes de Python (PYPI) después de más de tres años.
Nombrado “DiscordpyDebug”, el paquete era decirse como una utilidad de grabación de errores para los desarrolladores que trabajan en bots de discordia y se descargó más de 11,000 veces desde que se descargó el 21 de marzo de 2022, incluso si no tiene descripción ni documentación.
La compañía de seguridad cibernética de Socket, que la ha visto por primera vez, dice que el malware podría usarse para los sistemas de desarrolladores de discordia y proporcionando a los atacantes con capacidades de ejecución de código remoto y código remoto.
“El paquete se dirigió a los desarrolladores que construyen o mantienen robots de discordia, generalmente desarrolladores independientes, ingenieros de automatización o equipos pequeños que podrían instalar tales herramientas sin un examen en profundidad”, son investigadores en Socket dicho.
“Dado que el PYPI no aplica las auditorías de seguridad profunda de los paquetes descargados, los atacantes a menudo lo aprovechan utilizando descripciones engañosas, nombres de sonido legítimos o incluso la copia del código de proyectos populares para parecer confiables”.
Una vez instalado, el paquete malicioso transforma el dispositivo en un sistema controlado remoto que realizará instrucciones enviadas desde un servidor de control y control (C2) controlado por el atacante.
Los atacantes podrían usar malware para obtener acceso no autorizado a la información de identificación y más (por ejemplo, tokens, claves y archivos de configuración), robar datos y monitorear la actividad del sistema sin ser detectados, ejecutar el código de forma remota para implementar otros cargos útiles de software malicioso y obtener información que pueda ayudarlos a moverse lateralmente dentro de la red.
Aunque el software malicioso carece de persistencia o mecanismos de escalada de privilegios, utiliza una encuesta HTTP saliente en lugar de conexiones entrantes, lo que le permite evitar los firewalls y el software de seguridad, especialmente en entornos de desarrollo que se controlarán vagamente.
Una vez instalado, el paquete se conecta silenciosamente a un servidor de control y control (C2) controlado por el atacante (BackStabProtection.JamesX123.Repl[.]CO), enviando una solicitud de una posición con un valor de “nombre” para agregar el host infectado a la infraestructura de los atacantes.
El malware también incluye funciones para leer y escribir en archivos en la máquina host utilizando operaciones JSON cuando se activan por palabras clave específicas del servidor C2, dando la visibilidad de los actores de amenaza en datos confidenciales.
Para mitigar el riesgo de instalar malware trasero de los estándares de código en línea, los desarrolladores de software deben asegurarse de que los paquetes que descargan e instalan provienen del autor oficial antes de la instalación, especialmente para popular, para evitar el tipo de tipoquito.
Además, cuando usa bibliotecas de código abierto, deben examinar el código para obtener funciones sospechosas u oscurecidas y considerar el uso de herramientas de seguridad para detectar y bloquear el malware.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.