{"id":464830,"date":"2023-02-16T02:53:42","date_gmt":"2023-02-16T02:53:42","guid":{"rendered":"https:\/\/magazineoffice.com\/el-ultimo-ataque-a-los-usuarios-de-pypi-muestra-que-los-delincuentes-solo-estan-mejorando\/"},"modified":"2023-02-16T02:53:44","modified_gmt":"2023-02-16T02:53:44","slug":"el-ultimo-ataque-a-los-usuarios-de-pypi-muestra-que-los-delincuentes-solo-estan-mejorando","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/el-ultimo-ataque-a-los-usuarios-de-pypi-muestra-que-los-delincuentes-solo-estan-mejorando\/","title":{"rendered":"El \u00faltimo ataque a los usuarios de PyPI muestra que los delincuentes solo est\u00e1n mejorando"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div itemprop=\"articleBody\">\n<figure class=\"intro-image intro-left\"><figcaption class=\"caption\"\/>  <\/figure>\n<aside id=\"social-left\" class=\"social-left\" aria-label=\"Read the comments or share this article\">\n<\/aside>\n<p><!-- cache hit 67:single\/related:91732acf7657a298a5a626121929b9df --><!-- empty --><\/p>\n<p>Recientemente se cargaron m\u00e1s de 400 paquetes maliciosos en PyPI (Python Package Index), el repositorio de c\u00f3digo oficial para el lenguaje de programaci\u00f3n Python, en la indicaci\u00f3n m\u00e1s reciente de que atacar a los desarrolladores de software que usan esta forma de ataque no es una moda pasajera.<\/p>\n<p>Los 451 paquetes encontrados recientemente por la firma de seguridad Phylum conten\u00edan cargas \u00fatiles maliciosas casi id\u00e9nticas y se cargaron en r\u00e1fagas que se sucedieron r\u00e1pidamente.  Una vez instalados, los paquetes crean una extensi\u00f3n JavaScript maliciosa que se carga cada vez que se abre un navegador en el dispositivo infectado, un truco que le da persistencia al malware durante los reinicios.<\/p>\n<p>El JavaScript monitorea el portapapeles del desarrollador infectado en busca de cualquier direcci\u00f3n de criptomoneda que pueda copiarse en \u00e9l.  Cuando se encuentra una direcci\u00f3n, el malware la reemplaza con una direcci\u00f3n que pertenece al atacante.  El objetivo: interceptar los pagos que el desarrollador pretend\u00eda realizar a una parte diferente.<\/p>\n<p>En noviembre, Phylum identific\u00f3 docenas de paquetes, descargados cientos de veces, que usaban JavaScript altamente codificado para hacer lo mismo de manera subrepticia.  Espec\u00edficamente, es:<\/p>\n<ul>\n<li aria-level=\"1\">Cre\u00f3 un \u00e1rea de texto en la p\u00e1gina.<\/li>\n<li aria-level=\"1\">Peg\u00f3 cualquier contenido del portapapeles en \u00e9l<\/li>\n<li aria-level=\"1\">Us\u00f3 una serie de expresiones regulares para buscar formatos de direcciones de criptomonedas comunes<\/li>\n<li aria-level=\"1\">Reemplaz\u00f3 cualquier direcci\u00f3n identificada con las direcciones controladas por el atacante en el \u00e1rea de texto creada anteriormente<\/li>\n<li aria-level=\"1\">Copi\u00e9 el \u00e1rea de texto al portapapeles.<\/li>\n<\/ul>\n<p>\u201cSi en alg\u00fan momento un desarrollador comprometido copia una direcci\u00f3n de billetera, el paquete malicioso reemplazar\u00e1 la direcci\u00f3n con una direcci\u00f3n controlada por el atacante\u201d, escribi\u00f3 el director t\u00e9cnico de Phylum, Louis Lang, en la publicaci\u00f3n de noviembre.  \u201cEsta b\u00fasqueda\/reemplazo subrepticio har\u00e1 que el usuario final env\u00ede inadvertidamente sus fondos al atacante\u201d.<\/p>\n<h2>Nuevo m\u00e9todo de ofuscaci\u00f3n<\/h2>\n<p>Adem\u00e1s de aumentar enormemente la cantidad de paquetes maliciosos cargados, la \u00faltima campa\u00f1a tambi\u00e9n utiliza una forma significativamente diferente para cubrir sus huellas.  Mientras que los paquetes revelados en noviembre usaban codificaci\u00f3n para ocultar el comportamiento de JavaScript, los nuevos paquetes escriben identificadores de funciones y variables en lo que parecen ser combinaciones aleatorias de 16 bits de ideogramas en chino que se encuentran en la siguiente tabla:<\/p>\n<aside class=\"ad_wrapper\" aria-label=\"In Content advertisement\">\n    <span class=\"ad_notice\">Anuncio <\/span>    <\/p>\n<\/aside>\n<table style=\"border-collapse: collapse; table-layout: fixed; margin-left: auto; margin-right: auto; border: 1px solid #99acc2; width: 77.1982%; height: 809px;\">\n<thead>\n<tr style=\"height: 49px;\">\n<th style=\"width: 29.8791%; height: 49px;\">Punto de c\u00f3digo Unicode<\/th>\n<th style=\"width: 17.6166%; height: 49px;\">Ideograf\u00eda<\/th>\n<th style=\"width: 52.5043%; height: 49px;\">Definici\u00f3n<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr style=\"height: 73px;\">\n<td style=\"width: 29.8791%; height: 73px;\">0x4eba<\/td>\n<td style=\"width: 17.6166%; height: 73px;\">\u4eba<\/td>\n<td style=\"width: 52.5043%; height: 73px;\">hombre;  gente;  humanidad;  alguien m\u00e1s<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x5200<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u5200<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">cuchillo;  moneda antigua;  medida<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x53e3<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u53e3<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">boca;  Final abierto;  port\u00f3n de entrada<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x5973<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u5973<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">mujer, ni\u00f1a;  femenino<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x5b50<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u5b50<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">ni\u00f1o;  fruto, semilla de<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x5c71<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u5c71<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">monta\u00f1a, colina, pico<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x65e5<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u65e5<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">sol;  d\u00eda;  tiempo de d\u00eda<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x6708<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u6708<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">luna;  mes<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x6728<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u6728<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">\u00e1rbol;  madera, madera aserrada;  de madera<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x6c34<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u6c34<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">agua, l\u00edquido, loci\u00f3n, jugo<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x76ee<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u76ee<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">ojo;  ver ver;  divisi\u00f3n, tema<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x99ac<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u99ac<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">caballo;  apellido<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x9a6c<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u9a6c<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">caballo;  apellido<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x9ce5<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u9ce5<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">p\u00e1jaro<\/td>\n<\/tr>\n<tr style=\"height: 49px;\">\n<td style=\"width: 29.8791%; height: 49px;\">0x9e1f<\/td>\n<td style=\"width: 17.6166%; height: 49px;\">\u9e1f<\/td>\n<td style=\"width: 52.5043%; height: 49px;\">p\u00e1jaro<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Usando esta tabla, la l\u00ednea de c\u00f3digo<\/p>\n<pre class=\"language-python\"><code>''.join(map(getattr(__builtins__, oct.__str__()[-3 &lt;&lt; 0] + hex.__str__()[-1 &lt;&lt; 2] + copyright.__str__()[4 &lt;&lt; 0]), [(((1 &lt;&lt; 4) - 1) &lt;&lt; 3) - 1, ((((3 &lt;&lt; 2) + 1)) &lt;&lt; 3) + 1, (7 &lt;&lt; 4) - (1 &lt;&lt; 1), ((((3 &lt;&lt; 2) + 1)) &lt;&lt; 2) - 1, (((3 &lt;&lt; 3) + 1) &lt;&lt; 1)]))&#13;\n<\/code><\/pre>\n<p>crea la funci\u00f3n incorporada <code>chr<\/code> y asigna la funci\u00f3n a la lista de enteros <code>[119, 105, 110, 51, 50]<\/code>.  Luego, la l\u00ednea la combina en una cadena que finalmente crea <code>'win32'<\/code>.<\/p>\n<p>Los investigadores de Phylum explicaron:<\/p>\n<blockquote>\n<p>Podemos ver una serie de este tipo de llamadas <code>oct.__str__()[-3 &lt;&lt; 0]<\/code>.  El <code>[-3 &lt;&lt; 0]<\/code> eval\u00faa a <code>[-3]<\/code> y <code>oct.__str__()<\/code> eval\u00faa a la cadena <code>'&lt;built-in function oct&gt;'<\/code>.  Usando el operador de \u00edndice de Python <code>[]<\/code> en una cuerda con un <code>-3<\/code> tomar\u00e1 el tercer car\u00e1cter desde el final de la cadena, en este caso <code>'&lt;built-in function oct&gt;'[-3]<\/code> evaluar\u00e1 a <code>'c'<\/code>.  Continuando con esto en los otros 2 aqu\u00ed nos da <code>'c' + 'h' + 'r'<\/code> y simplemente evaluando la compleja aritm\u00e9tica bit a bit a\u00f1adida al final nos deja con:<\/p>\n<pre class=\"language-javascript\"><code>''.join(map(getattr(__builtins__, 'c' + 'h' + 'r'), [119, 105, 110, 51, 50]))<\/code><\/pre>\n<p>El <code>getattr(__builtins__, 'c' + 'h' + 'r')<\/code> solo nos da la funci\u00f3n incorporada <code>chr<\/code> y luego mapea <code>chr<\/code> a la lista de enteros <code>[119, 105, 110, 51, 50]<\/code> y luego lo une todo en una cadena que finalmente nos da <code>'win32'<\/code>.  Esta t\u00e9cnica se contin\u00faa a lo largo de la totalidad del c\u00f3digo.<\/p>\n<\/blockquote>\n<p>Si bien da la apariencia de un c\u00f3digo altamente ofuscado, la t\u00e9cnica en \u00faltima instancia es f\u00e1cil de derrotar, dijeron los investigadores, simplemente observando lo que hace el c\u00f3digo cuando se ejecuta.<\/p>\n<p>El \u00faltimo lote de paquetes maliciosos intenta capitalizar los errores tipogr\u00e1ficos que cometen los desarrolladores al descargar uno de estos paquetes leg\u00edtimos:<\/p>\n<ul>\n<li aria-level=\"1\">bitcoinlib<\/li>\n<li aria-level=\"1\">ccxt<\/li>\n<li aria-level=\"1\">criptocomparar<\/li>\n<li aria-level=\"1\">criptoalimentaci\u00f3n<\/li>\n<li aria-level=\"1\">comerciofrecuencia<\/li>\n<li aria-level=\"1\">selenio<\/li>\n<li aria-level=\"1\">solana<\/li>\n<li aria-level=\"1\">v\u00edbora<\/li>\n<li aria-level=\"1\">enchufes web<\/li>\n<li aria-level=\"1\">finanzas<\/li>\n<li aria-level=\"1\">pandas<\/li>\n<li aria-level=\"1\">matplotlib<\/li>\n<li aria-level=\"1\">aiohttp<\/li>\n<li aria-level=\"1\">hermosa sopa<\/li>\n<li aria-level=\"1\">tensorflow<\/li>\n<li aria-level=\"1\">selenio<\/li>\n<li aria-level=\"1\">raspado<\/li>\n<li aria-level=\"1\">colorama<\/li>\n<li aria-level=\"1\">scikit-aprender<\/li>\n<li aria-level=\"1\">antorcha<\/li>\n<li aria-level=\"1\">Pygame<\/li>\n<li aria-level=\"1\">pyinstaller<\/li>\n<\/ul>\n<p>Los paquetes que apuntan al paquete leg\u00edtimo de vyper, por ejemplo, usaron 13 nombres de archivo que omitieron o duplicaron un solo car\u00e1cter o transpusieron dos caracteres del nombre correcto:<\/p>\n<ul>\n<li aria-level=\"1\">yper<\/li>\n<li aria-level=\"1\">vper<\/li>\n<li aria-level=\"1\">m\u00e1s<\/li>\n<li aria-level=\"1\">vipe<\/li>\n<li aria-level=\"1\">vvyper<\/li>\n<li aria-level=\"1\">vyyper<\/li>\n<li aria-level=\"1\">v\u00edbora<\/li>\n<li aria-level=\"1\">vipeer<\/li>\n<li aria-level=\"1\">vyperr<\/li>\n<li aria-level=\"1\">yvper<\/li>\n<li aria-level=\"1\">vpyer<\/li>\n<li aria-level=\"1\">vyepr<\/li>\n<li aria-level=\"1\">vypre<\/li>\n<\/ul>\n<p>\u201cEsta t\u00e9cnica es trivialmente f\u00e1cil de automatizar con un script (dejamos esto como un ejercicio para el lector), y a medida que aumenta la longitud del nombre del paquete leg\u00edtimo, tambi\u00e9n aumentan los posibles errores tipogr\u00e1ficos\u201d, escribieron los investigadores.  \u201cPor ejemplo, nuestro sistema detect\u00f3 38 typosquats de la <code>cryptocompare<\/code> paquete publicado casi simult\u00e1neamente por el usuario llamado <code>pinigin.9494<\/code>.\u201d<\/p>\n<p>La disponibilidad de paquetes maliciosos en repositorios de c\u00f3digos leg\u00edtimos que se parecen mucho a los nombres de los paquetes leg\u00edtimos se remonta al menos a 2016, cuando un estudiante universitario subi\u00f3 214 paquetes con trampas explosivas a los repositorios PyPI, RubyGems y NPM que conten\u00edan nombres de paquetes leg\u00edtimos ligeramente modificados. .  El resultado: el c\u00f3digo impostor se ejecut\u00f3 m\u00e1s de 45\u00a0000 veces en m\u00e1s de 17\u00a0000 dominios separados, y m\u00e1s de la mitad recibi\u00f3 derechos administrativos todopoderosos.  Los llamados ataques de typosquatting han florecido desde entonces.<\/p>\n<p>Los nombres de los 451 paquetes maliciosos que encontraron los investigadores de Phylum se incluyen en la publicaci\u00f3n del blog.  No es una mala idea para cualquiera que tenga la intenci\u00f3n de descargar uno de los paquetes leg\u00edtimos seleccionados para verificar que no haya obtenido un doble malicioso sin darse cuenta.<\/p>\n<\/p><\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/magazineoffice.com\/\">Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Recientemente se cargaron m\u00e1s de 400 paquetes maliciosos en PyPI (Python Package Index), el repositorio de c\u00f3digo oficial para el lenguaje de programaci\u00f3n Python, en la indicaci\u00f3n m\u00e1s reciente de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":464831,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[1089,9770,681,8,11574,739,37140,1126,956,6512],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/464830"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=464830"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/464830\/revisions"}],"predecessor-version":[{"id":464832,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/464830\/revisions\/464832"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/464831"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=464830"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=464830"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=464830"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}