\n
Investigadores de seguridad cibern\u00e9tica de Check Point Research (CPR) han descubierto un nuevo paquete malicioso en PyPI, el repositorio de c\u00f3digo para el lenguaje de programaci\u00f3n Python que usa una imagen para entregar un malware troyano, en gran parte usando GitHub.<\/p>\n
Los actores de amenazas detr\u00e1s de esta nueva campa\u00f1a esperan que mientras buscan en la web proyectos leg\u00edtimos, los desarrolladores de Python, tarde o temprano, se encontrar\u00e1n con ‘apicolor’. <\/p>\n\nEl paquete en desarrollo aparentemente benigno en PyPI, una vez instalado, primero instala manualmente los requisitos adicionales y luego descarga una imagen de la web. Los requisitos adicionales procesan la imagen y activan la salida generada por el procesamiento mediante el comando exec. <\/p>\n
Ataque de esteganograf\u00eda<\/h2>\n Uno de esos dos requisitos es el c\u00f3digo judyb, que es de hecho un m\u00f3dulo de esteganograf\u00eda, capaz de revelar mensajes ocultos dentro de las im\u00e1genes. Eso llev\u00f3 a los investigadores de vuelta a la imagen que, como resultado, descarga paquetes maliciosos de la web al terminal de la v\u00edctima. (se abre en una pesta\u00f1a nueva)<\/span>.<\/p>\n\n\n
\n
<\/picture><\/p>\n<\/div>\n<\/div>(Cr\u00e9dito de la imagen: Investigaci\u00f3n de Check Point)<\/span><\/figcaption><\/figure>\n\u201cEl lugar inmediato para investigar dichos paquetes es GitHub\u201d, explican los investigadores. \u201cLos investigadores buscaron proyectos de c\u00f3digo usando estos paquetes, lo que permiti\u00f3 al equipo comprender mejor sus t\u00e9cnicas de infecci\u00f3n (si alguien las instal\u00f3 por error y, si lo hicieron, c\u00f3mo sucedi\u00f3). Al usar esta b\u00fasqueda, se hizo evidente que apicolor y judib son bastante espec\u00edficos y tienen poco uso en los proyectos de GitHub.\u201c <\/p>\n
Tan pronto como CPR notific\u00f3 a PyPI de sus hallazgos, este \u00faltimo elimin\u00f3 el paquete malicioso de su plataforma.<\/p>\n
Si bien los investigadores no descubrieron qui\u00e9n era el actor de amenazas detr\u00e1s de esta campa\u00f1a, s\u00ed dijeron que toda la prueba fue \u00abplaneada y pensada cuidadosamente\u00bb, y afirm\u00f3 adem\u00e1s que las t\u00e9cnicas de ofuscaci\u00f3n en PyPI han evolucionado. <\/p>\n
\u201cEscaneamos constantemente PyPI en busca de paquetes maliciosos y los informamos de manera responsable a PyPI. Este es \u00fanico y distinto de casi todos los paquetes maliciosos que hemos encontrado antes\u201d, coment\u00f3 Ori Abramovsky, jefe de ciencia de datos, SpectralOps, una empresa de Check Point. <\/p>\n
\u201cEste paquete difiere en la forma en que camufla su intenci\u00f3n y en la forma en que se dirige a los usuarios de PyPI para infectarlos con importaciones maliciosas en GitHub. Nuestros hallazgos indican que los paquetes maliciosos de PyPI y sus t\u00e9cnicas de ofuscaci\u00f3n est\u00e1n evolucionando r\u00e1pidamente. El paquete que hemos compartido aqu\u00ed refleja un trabajo cuidadoso y meticuloso. No es la copia y el pasado normales que vemos com\u00fanmente, sino lo que parece una campa\u00f1a real. La creaci\u00f3n de los proyectos de GitHub, luego ocultar inteligentemente el c\u00f3digo y minimizar los paquetes en PyPI, son todos trabajos sofisticados\u201d.<\/p>\n<\/div>\n
Source link-36<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"Investigadores de seguridad cibern\u00e9tica de Check Point Research (CPR) han descubierto un nuevo paquete malicioso en PyPI, el repositorio de c\u00f3digo para el lenguaje de programaci\u00f3n Python que usa una…<\/p>\n","protected":false},"author":1,"featured_media":278465,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[11075,61370,148,30082,275,28862,4236,39811,2337],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/288983"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=288983"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/288983\/revisions"}],"predecessor-version":[{"id":288984,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/288983\/revisions\/288984"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/278465"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=288983"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=288983"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=288983"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}