Hackers logran distribuir codigo malicioso de Python en Stack Overflow

 Los investigadores de ciberseguridad han advertido de un nuevo paquete malicioso de Python que se ha descubierto en el repositorio Python Package Index (PyPI) para facilitar el robo de criptomonedas como parte de una campaña más amplia.

El paquete en cuestión es pytoileur, que ha sido descargado 316 veces en el momento de escribir este artículo. Curiosamente, el autor del paquete, que se hace llamar PhilipsPY, ha subido una nueva versión del paquete (1.0.2) con una funcionalidad idéntica después de que los mantenedores de PyPI retiraran una versión anterior (1.0.1) el 28 de mayo de 2024.

{getCard} $type={post} $title={Recomendado}

Según un análisis publicado por Sonatype, el código malicioso está incrustado en el script setup.py del paquete, lo que le permite ejecutar una carga útil codificada en Base64 que es responsable de recuperar un binario de Windows de un servidor externo.

"El binario recuperado, 'Runtime.exe', se ejecuta aprovechando los comandos de Windows PowerShell y VBScript en el sistema", dijo el investigador de seguridad Ax Sharma.

Una vez instalado, el binario establece la persistencia y descarta cargas útiles adicionales, incluido el spyware y un malware ladrón capaz de recopilar datos de los navegadores web y los servicios de criptomonedas.

Sonatype dijo que también identificó una cuenta de StackOverflow recién creada llamada "EstAYA G" que responde a las consultas de los usuarios en la plataforma de preguntas y respuestas, indicándoles que instalen el paquete pytoileur falso como una supuesta solución a sus problemas.

"Si bien la atribución definitiva es un desafío cuando se evalúan las cuentas de usuario seudónimas en plataformas de Internet sin acceso a los registros, la antigüedad reciente de estas dos cuentas de usuario y su único propósito de publicar y promover el paquete malicioso de Python nos da una buena indicación de que están vinculadas a los mismos actores de amenazas detrás de esta campaña", dijo Sharma.