Ciberdelincuentes emprendieron una campaña maliciosa consistente en la distribución de paquetes de Python fraudulentos mediante typosquatting, que permitió el robo de información confidencial de desarrolladores individuales y usuarios de la plataforma de bots Top.gg de Discord.
La campaña, que comenzó en noviembre de 2022, ha involucrado la publicación de paquetes falsificados en el repositorio PyPI. Estos paquetes incluyen malware camuflado como la popular herramienta Colorama, con el objetivo de robar datos sensibles y comprometer la seguridad de los usuarios.
Checkmarx informó que los atacantes utilizaron múltiples tácticas, incluyendo la toma de control de cuentas mediante cookies robadas, contribución de código malicioso con commits verificados y la publicación de paquetes maliciosos en el registro PyPI.
La cuenta de GitHub «editor-syntax» de Top.gg fue comprometida como parte de la campaña, lo que permitió a los atacantes realizar cambios maliciosos en los repositorios.
Estos paquetes fraudulentos se propagaron a través de repositorios de GitHub como github[.]com/maleduque/Valorant-Checker y github[.]com/Fronse/League-of-Legends-Checker que contenían un archivo requirements.txt, que sirve como lista de paquetes Python que debe instalar el gestor de paquetes.
Sin embargo, uno de los repositorios afectados, «github[.]com/whiteblackgang12/Discord-Token-Generator», ya no está disponible en GitHub. También fue afectado el archivo requirements.txt asociado al python-sdk de Top.gg por la cuenta editor-syntax el 20 de febrero de 2024, el cual fue resuelto. Los atacantes registraron el dominio ‘files.pypihosted.org’, un intento de servidor espejo o copia fraudulenta donde se alojan los archivos de los paquetes oficiales PyPI, mediante typosquatting (método consistente en registrar un dominio similar al de un sitio web conocido, pero que se diferencia porque introduce un error ortotipográfico).
Esto destaca la importancia de mantener prácticas de seguridad sólidas y estar alerta al instalar paquetes y repositorios, incluso desde fuentes confiables como PyPI y GitHub, además de estar actualizado a través de charlas sobre este tema como la que tendrá lugar el 14 de junio en el evento UAD360 sobre «Malware en PyPi» impartida por parte Marta Gómez, SWE de Google.
Más información:
- https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure/
- https://pip.pypa.io/en/stable/reference/requirements-file-format/
- https://github.com/Top-gg-Community/python-sdk/commit/ecb87731286d72c8b8172db9671f74bd42c6c534
- https://github.com/Top-gg-Community/python-sdk/issues/76
- https://medium.com/@demonia/discovering-malwares-in-public-github-repositories-3e080f030ecc
- https://medium.com/@demonia/lets-dig-deep-into-pypihosted-malware-part-1-94ada4737442
- https://thehackernews.com/2024/03/hackers-hijack-github-accounts-in.html
Deja una respuesta