Investigadores de seguridad cibernética de Check Point Research (CPR) han descubierto un nuevo paquete malicioso en PyPI, el repositorio de código para el lenguaje de programación Python que usa una imagen para entregar un malware troyano, en gran parte usando GitHub.
Los actores de amenazas detrás de esta nueva campaña esperan que mientras buscan en la web proyectos legítimos, los desarrolladores de Python, tarde o temprano, se encontrarán con ‘apicolor’.
El paquete en desarrollo aparentemente benigno en PyPI, una vez instalado, primero instala manualmente los requisitos adicionales y luego descarga una imagen de la web. Los requisitos adicionales procesan la imagen y activan la salida generada por el procesamiento mediante el comando exec.
Ataque de esteganografía
Uno de esos dos requisitos es el código judyb, que es de hecho un módulo de esteganografía, capaz de revelar mensajes ocultos dentro de las imágenes. Eso llevó a los investigadores de vuelta a la imagen que, como resultado, descarga paquetes maliciosos de la web al terminal de la víctima. (se abre en una pestaña nueva).
“El lugar inmediato para investigar dichos paquetes es GitHub”, explican los investigadores. “Los investigadores buscaron proyectos de código usando estos paquetes, lo que permitió al equipo comprender mejor sus técnicas de infección (si alguien las instaló por error y, si lo hicieron, cómo sucedió). Al usar esta búsqueda, se hizo evidente que apicolor y judib son bastante específicos y tienen poco uso en los proyectos de GitHub.“
Tan pronto como CPR notificó a PyPI de sus hallazgos, este último eliminó el paquete malicioso de su plataforma.
Si bien los investigadores no descubrieron quién era el actor de amenazas detrás de esta campaña, sí dijeron que toda la prueba fue «planeada y pensada cuidadosamente», y afirmó además que las técnicas de ofuscación en PyPI han evolucionado.
“Escaneamos constantemente PyPI en busca de paquetes maliciosos y los informamos de manera responsable a PyPI. Este es único y distinto de casi todos los paquetes maliciosos que hemos encontrado antes”, comentó Ori Abramovsky, jefe de ciencia de datos, SpectralOps, una empresa de Check Point.
“Este paquete difiere en la forma en que camufla su intención y en la forma en que se dirige a los usuarios de PyPI para infectarlos con importaciones maliciosas en GitHub. Nuestros hallazgos indican que los paquetes maliciosos de PyPI y sus técnicas de ofuscación están evolucionando rápidamente. El paquete que hemos compartido aquí refleja un trabajo cuidadoso y meticuloso. No es la copia y el pasado normales que vemos comúnmente, sino lo que parece una campaña real. La creación de los proyectos de GitHub, luego ocultar inteligentemente el código y minimizar los paquetes en PyPI, son todos trabajos sofisticados”.