Los investigadores de ciberseguridad de Phylum han encontrado una nueva forma de malware en un paquete PyPI que usaba Unicode para ocultarse.
Unicode es un estándar de codificación global utilizado para diferentes idiomas y escrituras, que cubre más de 100.000 caracteres, cuyo objetivo es simplificar y agilizar la visualización de los caracteres en dispositivos electrónicos y digitales. Con Unicode, cada letra, dígito y símbolo obtiene un valor numérico único, que permanece igual, independientemente del programa o plataforma en uso.
El malware se llama «onyxproxy», es un ladrón de información en busca de credenciales de inicio de sesión de desarrollador y tokens de autenticación. Estuvo disponible en PyPI durante una semana, antes de cerrarse, y durante ese tiempo logró obtener 183 descargas, lo que significa que hasta 183 desarrolladores diferentes están en riesgo de robo de credenciales e identidad.
Ocultos a plena vista
El malware lleva un paquete llamado «setup.py» que, según los investigadores, tiene «miles» de cadenas de código sospechosas que usan una combinación de caracteres Unicode.
Observados en la superficie, los personajes parecen normales y benignos; sin embargo, lo que ve el ojo humano y lo que ve el programa son dos cosas muy diferentes.
En onyxproxy, hay tres identificadores críticos: «__import__», «subprocesos» y «CryptoUnprotectData». Estos tienen una gran cantidad de variantes, lo que los hace ideales para vencer las defensas basadas en la coincidencia de cadenas, explican los investigadores.
Si bien la técnica puede parecer complicada, los investigadores afirman que no es exactamente sofisticada. Sin embargo, si el abuso de Unicode para ocultar Python malicioso (se abre en una pestaña nueva) código se convierte en una tendencia, podría convertirse en motivo de preocupación.
«Pero, quien sea que este autor copió este código ofuscado es lo suficientemente inteligente como para saber cómo usar las partes internas del intérprete de Python para generar un tipo novedoso de código ofuscado, un tipo que es algo legible sin divulgar demasiado de qué es exactamente el código tratando de robar», concluye Phylum.
- Aquí están las mejores herramientas de eliminación de malware en este momento
Vía: BleepingComputer (se abre en una pestaña nueva)