Los investigadores de seguridad cibernética han advertido sobre una campaña maliciosa que se dirige a los usuarios del repositorio del índice de paquetes de Python (PYPI) con bibliotecas falsas disfrazadas de utilidades relacionadas con el «tiempo», pero alberga la funcionalidad oculta para robar datos delicados como tokens de acceso a la nube.
Software Supply Chain Security Firma ReversingLabs dicho Descubrió dos conjuntos de paquetes por un total de 20 de ellos. Los paquetes se han descargado acumulativamente más de 14,100 veces –
- instantánea-foto (2,448 descargas)
- Time-Check-server (316 descargas)
- Time-check-server-get (178 descargas)
- Análisis de servicio de tiempo (144 descargas)
- Time-Server-Analyzer (74 descargas)
- Tiempo de prueba de servicio (155 descargas)
- Verificador de tiempo de tiempo (151 descargas)
- Aclient-SDK (120 descargas)
- Acloud-Client (5.496 descargas)
- Acloud-Clients (198 descargas)
- ACLOUD-CLIENT-USES (294 descargas)
- Alicloud-Client (622 descargas)
- Alicloud-Client-SDK (206 descargas)
- Amzclients-SDK (100 descargas)
- awscloud-client-core (206 descargas)
- Credential-Python-SDK (1,155 descargas)
- Enumer-IAM (1,254 descargas)
- TClients-SDK (173 descargas)
- tcloud-python-sdks (98 descargas)
- Tcloud-Python-Test (793 descargas)
Si bien el primer conjunto se relaciona con los paquetes que se utilizan para cargar datos en la infraestructura del actor de amenaza, el segundo clúster consiste en paquetes que implementan funcionalidades de clientes en la nube para varios servicios como Alibaba Cloud, Amazon Web Services y Tencent Cloud.
Pero también han estado utilizando paquetes relacionados con el «tiempo» para exfiltrar los secretos de la nube. Todos los paquetes identificados ya se han eliminado de PYPI a partir de la escritura.
Un análisis posterior ha revelado que tres de los paquetes, acloud-cliente, Enumery prueba de tcloud-pythonha sido incluido como dependencias de un proyecto GitHub relativamente popular llamado AccessKey_Tools Eso se ha bifurcado 42 veces y comenzó 519 veces.
El 8 de noviembre de 2023 se realizó una referencia de compromiso de código fuente del 8 de noviembre de 2023, lo que indica que el paquete ha estado disponible para descargar en Pypi desde entonces. El paquete se ha descargado 793 veces hasta la fecha, por estadísticas de Pepy.tech.
La divulgación se produce cuando Fortinet Fortiguard Labs dijo que descubrió miles de paquetes en PYPI y NPM, algunos de los cuales se han encontrado que incrustan scripts de instalación sospechosos diseñados para implementar un código malicioso durante la instalación o comunicarse con servidores externos.
«Las URL sospechosas son un indicador clave de paquetes potencialmente maliciosos, ya que a menudo se usan para descargar cargas útiles adicionales o establecer comunicación con servidores de comando y control (C&C), dando a los atacantes control sobre sistemas infectados», Jenna Wang dicho.
«En 974 paquetes, tales URL están vinculadas al riesgo de exfiltración de datos, más descargas de malware y otras acciones maliciosas. Es crucial analizar y monitorear las URL externos en las dependencias de los paquetes para evitar la explotación».
