Los investigadores de seguridad cibernética han descubierto paquetes maliciosos cargados en el repositorio del índice de paquetes de Python (PYPI) que actúan como herramientas de verificación para validar las direcciones de correo electrónico robadas contra las API de Tiktok e Instagram.
Los tres paquetes ya no están disponibles en PYPI. Los nombres de los paquetes de Python están a continuación –
- Checker-sagaf (2,605 descargas)
- Steinlurks (1.049 descargas)
- Sinnercore (3,300 descargas)
«Fiel a su nombre, el checker-sagaf verifica si un correo electrónico está asociado con una cuenta de tiktok y una cuenta de Instagram», la investigadora de socket Olivia Brown dicho En un análisis publicado la semana pasada.
Específicamente, el paquete está diseñado para enviar solicitudes de publicación HTTP a la API de recuperación de contraseñas de Tiktok y los puntos finales de inicio de sesión de la cuenta de Instagram para determinar si una dirección de correo electrónico aprobada como la entrada es válida, lo que significa que existe un titular de la cuenta correspondiente a esa dirección de correo electrónico.
«Una vez que los actores de amenaza tienen esta información, solo que desde una dirección de correo electrónico, pueden amenazar con DOX o SPAM, realizar ataques de informes falsos para suspender las cuentas o confirmar únicamente las cuentas de objetivos antes de lanzar un relleno de credencial o exploit de pulverización de contraseña», dijo Brown.
«Las listas de usuarios validadas también se venden en la web oscura con fines de lucro. Puede parecer inofensivo construir diccionarios de correos electrónicos activos, pero esta información habilita y acelera las cadenas de ataque enteras y minimiza la detección solo al dirigirse a cuentas conocidas».
El segundo paquete «Steinlurks», de manera similar, se dirige a las cuentas de Instagram enviando solicitudes de publicación HTTP forjadas que imitan la aplicación de Instagram Android para evadir la detección. Logra esto apuntando a diferentes puntos finales de API –
- I.instagram[.]com/api/v1/ussers/bireup/
- I.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- I.instagram[.]com/api/v1/cuentas/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/cuentas/check_email/
«Sinnercore», por otro lado, tiene como objetivo activar el flujo de contraseña olvidada para un nombre de usuario dado, dirigido al punto final de la API «Biinstagram[.]com/api/v1/cuentas/send_password_reset/»con solicitudes HTTP falsas que contienen el nombre de usuario del objetivo.
«También hay funcionalidad dirigida a Telegram, a saber, extraer nombre, ID de usuario, Bio y estado premium, así como otros atributos», explicó Brown.
«Algunas partes de Sinnercore se centran en los servicios públicos de criptografía, como obtener el precio de binance en tiempo real o las conversiones de divisas. Incluso se dirige a los programadores de PYPI al obtener información detallada sobre cualquier paquete PYPI, que probablemente se use para perfiles de desarrolladores falsos o fingiendo ser desarrolladores».
La divulgación se produce cuando ReversingLabs detalló otro paquete malicioso llamado «DBGPKG» que se disfraza de una utilidad de depuración pero implica una puerta trasera en el sistema del desarrollador para facilitar la ejecución de código y la exfiltración de datos. Si bien el paquete ya no es accesible, se estima que se ha descargado unas 350 veces.
Curiosamente, se ha encontrado que el paquete en cuestión contiene la misma carga útil que la integrada en «Discordpydebug», que era marcado por Socket a principios de este mes. ReversingLabs dijo que también identificó un tercer paquete llamado «Solicitsdev» que se cree que es parte de la misma campaña. Atrajo 76 descargas antes de ser derribado.
Un análisis posterior ha determinado que la técnica de puerta trasera del paquete que usa GSocket se asemeja a la de Phoenix Hyena (también conocido como Dumpforums o Silent Crow), un grupo hacktivista conocido por atacar a las entidades rusas, incluida la web de Doctor, después de la guerra rusa-Ukrainiana a principios de 2022.
Si bien la atribución es tentativa en el mejor de los casos, ReversingLabs señaló que la actividad también podría ser el trabajo de un actor de amenaza de imitación. Sin embargo, el uso de cargas útiles idénticas y el hecho de que «Discordpydebug» se cargó por primera vez en marzo de 2022 fortalece el caso para una posible conexión con Phoenix Hyena.
«Las técnicas maliciosas utilizadas en esta campaña, incluido un tipo específico de implante de puerta trasera y el uso de la envoltura de la función de Python, muestran que el actor de amenaza detrás de ella es sofisticado y es muy cuidadoso para evitar la detección», el investigador de seguridad Karlo Zanki dicho.
«El uso del envoltorio de funciones y las herramientas como el kit de herramientas de socket global muestran que los actores de amenaza detrás de él también buscaban establecer una presencia a largo plazo en sistemas comprometidos sin ser notados».
Los hallazgos también coinciden con el descubrimiento de un paquete NPM malicioso llamado «Koishi -Plugin -Pinhaofa» que instala un trasero de extracción de datos en chatbots alimentados por el Koishi estructura. El paquete ya no está disponible para descargar desde NPM.
«Comercializado como un ayudante de ortografía -outocorrecta, el complemento escanea cada mensaje para una cadena hexadecimal de ocho caracteres», el investigador de seguridad Kirill Boychenko dicho. «Cuando encuentra uno, reenvía el mensaje completo, potencialmente que incluye secretos o credenciales integrados, a una cuenta QQ codificada».
«Ocho caracteres HEX a menudo representan hashes de confirmación de git corta, tokens JWT o API truncados, SUMS de verificación CRC -32, segmentos de plomo GUID o números de serie del dispositivo, cada uno de los cuales puede desbloquear sistemas más amplios o asignar activos internos. Al recolectar todo el mensaje, el actor de amenaza también recoge cualquier cicatrización de secreciones, contraseñas, urls, credenciales, tokens, o identificaciones,». «
