Los expertos en ciberseguridad de Phylum han detectado una carga útil maliciosa integrada en un paquete popular de Python en el repositorio de PyPI. El paquete, llamado solicitudes-darwin-litees una variante no autorizada del ampliamente utilizado peticiones biblioteca.
El solicitudes-darwin-lite El paquete fue diseñado inteligentemente para emular su contraparte legítima, pero incluía un binario Go oculto dentro de un archivo de imagen de gran tamaño que pretendía ser un simple logotipo. Este archivo, un PNG etiquetado como imagen de la barra lateral, pesaba inusualmente alrededor de 17 MB, un marcado contraste con el tamaño normal de aproximadamente 300 kB de la versión original.
Durante la instalación del paquete, se activaba una clase de comando especializada ‘PyInstall’ si el entorno de instalación era macOS. Esta clase ejecutó un comando codificado en base64 que extrajo el UUID (Identificador único universal) del sistema.
El código buscó un UUID específico, lo que indica un ataque altamente dirigido. Si el UUID no coincidía, la instalación continuaba sin implementar el malware. Esto sugiere que los atacantes estaban probando su despliegue o tenían en mente un objetivo muy específico.
Cuando se cumplieron las condiciones, el archivo PNG de gran tamaño se procesó para extraer el binario oculto, que luego se convirtió en ejecutable y se ejecutó en segundo plano, dando efectivamente a los atacantes el control de la máquina. Archivo análisis identificó el binario como un componente de OSX/Silver, un marco C2 (comando y control) similar a Cobalt Strike pero menos conocido y, por lo tanto, menos probable de ser detectado.
Phylum señaló que las versiones anteriores de este paquete incluían el gancho de instalación malicioso y el binario empaquetado. Sin embargo, las versiones posteriores, identificadas como 2.28.0 y 2.28.1, habían reducido estas características agresivas; el primero ya no ejecutaba el binario tras la instalación y el segundo carecía por completo de componentes maliciosos.
El descubrimiento generó un informe inmediato a PyPI, lo que llevó a la eliminación de todas las versiones del paquete del repositorio. Esta secuencia de eventos subraya la necesidad de vigilancia en la comunidad de código abierto, donde la confusión de dependencias y los ataques dirigidos se están volviendo cada vez más sofisticados.
Este incidente es un recordatorio fundamental de que los atacantes continúan evolucionando sus métodos para explotar los ecosistemas de código abierto, aprovechando paquetes aparentemente inocentes para implementar malware. Pide una mayor conciencia y medidas preventivas en toda la comunidad tecnológica para protegerse contra estos ataques.
(Foto por tirar haiga)
Ver también: CISA hace sonar la alarma sobre una falla crítica de GitLab bajo un exploit activo
¿Quiere obtener más información sobre la ciberseguridad y la nube de la mano de los líderes de la industria? Verificar Exposición de seguridad cibernética y nube que tendrá lugar en Ámsterdam, California y Londres. El evento integral comparte ubicación con otros eventos importantes, incluidos bloquex, Semana de la Transformación Digital, Exposición de tecnología de IoT y Exposición de IA y Big Data.
Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados por TechForge aquí.
