Los investigadores de ReverseLabs han descubierto Paquetes de Python que utilizan la descarga de DLL para eludir las herramientas de seguridad.
El 10 de enero de 2024, Karlo Zanki, ingeniero inverso de ReversingLabs, se topó con dos paquetes sospechosos en el Índice de paquetes de Python (PyPI). Se descubrió que estos paquetes, denominados NP6HelperHttptest y NP6HelperHttper, utilizaban la descarga de DLL, una técnica conocida utilizada por actores maliciosos para ejecutar código de manera discreta y evadir la detección de las herramientas de seguridad.
Este descubrimiento subraya el panorama de amenazas en expansión dentro de las cadenas de suministro de software, con actores maliciosos que explotan las vulnerabilidades en los ecosistemas de código abierto. El incidente resalta los desafíos que enfrentan los desarrolladores al examinar la calidad y autenticidad de los módulos de código abierto, en medio del vasto y siempre cambiante panorama del código disponible.
Los paquetes maliciosos, disfrazados con nombres muy parecidos a los legítimos, tenían como objetivo engañar a los desarrolladores para que los incorporaran involuntariamente en sus proyectos. Esta táctica, conocida como typosquatting, es sólo uno de los muchos métodos empleados por los atacantes para infiltrarse en cadenas de suministro de software legítimas.
Una investigación más profunda reveló que los paquetes maliciosos apuntaban a paquetes PyPI existentes, NP6HelperHttp y NP6HelperConfig, publicados originalmente por un usuario llamado NP6. Mientras que NP6 está asociado con Chapvisión, una empresa de automatización de marketing, la cuenta PyPI en cuestión estaba vinculada a una cuenta personal de un desarrollador de Chapvision. El descubrimiento llevó a Chapvision a confirmar la legitimidad de las herramientas auxiliares y posteriormente eliminar los paquetes maliciosos de PyPI.
El análisis de los paquetes maliciosos descubrió un enfoque sofisticado, en el que se utilizaba un script setup.py para descargar archivos tanto legítimos como maliciosos. En particular, la DLL maliciosa (dgdeskband64.dll) fue diseñada para explotar la descarga de DLL, una técnica comúnmente empleada por los ciberdelincuentes para cargar código malicioso mientras evade la detección.
Un examen más detenido reveló una campaña más amplia, con muestras adicionales que exhibían características similares. La plataforma Titanium de ReversingLabs, que utiliza YARA Retro Hunt, identificó muestras relacionadas que indican un esfuerzo coordinado por parte de los actores de amenazas.
El código malicioso, integrado en la DLL, utilizó un controlador de excepciones para ejecutar el código shell, estableciendo una conexión con un servidor externo para descargar y ejecutar cargas útiles. La investigación también descubrió rastros de Cobalt Strike Beacon, una herramienta de seguridad del equipo rojo reutilizada por actores de amenazas para actividades maliciosas.
Este descubrimiento subraya la creciente sofisticación de los actores maliciosos que aprovechan la infraestructura de código abierto para sus campañas. Destaca la necesidad urgente de que los desarrolladores y las organizaciones fortalezcan sus cadenas de suministro de software contra tales ataques, enfatizando medidas proactivas para garantizar la integridad y seguridad de sus repositorios de código.
(Foto por David Clode en desempaquetar)
Ver también: Apple está acabando con las aplicaciones web en la UE
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Verificar Exposición de seguridad cibernética y nube que tendrá lugar en Amsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos bloquex, Semana de la Transformación Digital, Exposición de tecnología de IoTy Exposición de IA y Big Data.
Además, la próxima Conferencia sobre transformación de la nube es un evento virtual gratuito para que los líderes empresariales y tecnológicos exploren el panorama cambiante de la transformación de la nube. Reserva tu billete virtual gratis para explorar los aspectos prácticos y las oportunidades que rodean la adopción de la nube.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.