Los investigadores de seguridad cibernética de Checkmarx descubrieron más de dos docenas de paquetes maliciosos en PyPI, un repositorio popular para desarrolladores de Python, y publicaron sus hallazgos en un nuevo informe. (se abre en una pestaña nueva).
Estos paquetes maliciosos, diseñados para parecer casi idénticos a los legítimos, intentan engañar a los desarrolladores imprudentes para que descarguen e instalen el incorrecto, distribuyendo así malware.
La práctica se conoce como typosquatting y es bastante popular entre los ciberdelincuentes que atacan a los desarrolladores de software.
robos de infostealer
Para ocultar el malware, los atacantes utilizan dos enfoques únicos: esteganografía y polimorfismo.
La esteganografía es la práctica de ocultar código dentro de una imagen, lo que permite a los actores de amenazas distribuir código malicioso a través de archivos .JPG y .PNG aparentemente inocentes.
El malware polimórfico, por otro lado, cambia la carga útil con cada instalación, evitando así con éxito los programas antivirus y otras soluciones de ciberseguridad.
Aquí, los atacantes utilizaron estas técnicas para entregar WASP, un ladrón de información capaz de apoderarse de las cuentas de Discord, las contraseñas, la información de la billetera de criptomonedas, los datos de la tarjeta de crédito de las personas, así como cualquier otra información que el punto final de la víctima considere interesante.
Una vez identificados, los datos se devuelven a los atacantes a través de una dirección de webhook de Discord codificada.
La campaña parece ser un truco de marketing, ya que aparentemente los investigadores detectaron a los actores de amenazas anunciando la herramienta en la dark web por $20 y afirmando que es indetectable.
Además, los investigadores creen que este es el mismo grupo que estuvo detrás de un ataque similar que los investigadores de Phylum informaron por primera vez a principios de este mes. (se abre en una pestaña nueva) y punto de control (se abre en una pestaña nueva). En ese entonces, se decía que un grupo denominado Worok estaba distribuyendo DropBoxControl, un ladrón de información personalizado de .NET C# que abusa del alojamiento de archivos de Dropbox para comunicarse y robar datos, desde al menos septiembre de 2022.
Dado su conjunto de herramientas, los investigadores creen que Worok es el trabajo de un grupo de ciberespionaje que trabaja en silencio, le gusta moverse lateralmente a través de las redes de destino y robar datos confidenciales. También parece estar utilizando sus propias herramientas patentadas, ya que los investigadores no han observado que nadie más las esté utilizando.
A través de: El registro (se abre en una pestaña nueva)