MADRID, 26 Mar. (Portaltic/EP) -
Ciberdelincuentes emprendieron una campaña maliciosa consistente en la distribución de paquetes de lenguaje Python fraudulentos mediante la técnica de 'typosquatting', que permitió el robo de información confidencial de desarrolladores individuales y usuarios de la plataforma de 'bots' Top.gg de Discord.
Los actores de amenazas emplearon diferentes tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés), entre ellas, la apropiación de cuentas mediante 'cookies' de navegador robadas y la contribución de código malicioso con confirmaciones verificadas, para distribuir 'malware' a través de repositorios de GitHub.
Los investigadores de Checkmarx han concretado que en esta campaña se procedió a la publicación de contenido fraufulento en el registro del Índice de Paquetes de Python (PyPI), un repositorio de 'software' oficial para aplicaciones de terceros en el lenguaje de programación Python.
Según el cronograma del ataque, su origen se sitúa en el mes de noviembre de 2022, cuando un usuario PyPI conocido como 'felpes' añadió tres paquetes contenedores de código malicioso a este índice de paquetes del lenguaje de programación Python.
Con el objetivo de robar información confidencial de las víctimas, el atacante combinó varios TTP para lanzar un ataque silencioso a la cadena de suministro de 'software' de este servicio. Asimismo, creó múltiples herramientas maliciosas de código abierto con formato de 'clickbait' para engañar a las víctimas.
Entre los afectados por esta campaña se encuentra la cuenta de organización de GitHub asociada con Top.gg, una plataforma de búsqueda y descubrimiento de 'bots' de Discord que reúne a más de 170.000 usuarios, así como a varios desarrolladores individuales, según se ha señalado en una publicación en su blog.
USO DE SERVIDORES ESPEJO
A principios de febrero de este año, el atacante registró el dominio 'files.pypihosted.org', un intento de 'servidor espejo' o copia fraudulenta de 'files.pythonhosted.org' -donde se alojan los archivos de los paquetes oficiales PyPI- mediante 'typosquatting', un método consistente en registrar un dominio muy similar al de un sitio web conocido, pero que se diferencia de este porque introduce un error ortotipográfico.
Este falso espejo se empleó para alojar versiones infectadas de paquetes legítimos, con código idéntico a éstos, pero con breves fragmentos aficionales de código manipulado. Entre los paquetes falsificados se encontraba el correspondiente a Colorama, una herramienta con más de 150 millones de descargas mensuales para añadir estilos y colores a las salidas de texto, de la que hicieron una copia idéntica y en la que insertaron código malicioso.
Esto hizo que fuese "considerablemente más difícil identificar a simple vista la naturaleza dañina del paquete, ya que inicialmente parecía ser una dependencia legítima", han explicado los investigadores en este estudio.
Para minimizar el descubrimiento de la carga maliciosa dentro del código de estos paquetes, el atacante utilizó una cantidad significativa de espacios en blanco para ocultar y desplazar el código malicioso hacia la derecha de la pantalla. De ese modo, la persona que lo revisara debía desplazarse horizontalmente "durante un período prolongado" antes de visualizarlo, lo que dificultaba que se pudiera identificar rápidamente, con un golpe de vista.
Los investigadores también han apuntado que el alcance del ataque se extendió más allá de la creación de repositorios maliciosos a través de sus propias cuentas y que los atacantes "se las arreglaron" para secuestrar también cuentas de GitHub reconocidas, a fin de utilizar sus recursos para contibuir a la distribución del 'malware'.
Así, han determinado que entre las víctimas se encuentra el editor de sintaxis (editor-syntax) de la cuenta de GitHub, que también gestiona Top.gg y tiene permisos de escritura en los repositorios de este portal. Los ciberdelincuentes logaron acceder al contenedor 'top-gg/python-sdk' empleando la identidad robada para añadir un archivo y descargar la versión fraudulenta de Colorama desde el falso servidor espejo.
Los investigadores han concretado que la cuenta 'editor-syntax' probablemente fue secuestrada mediante 'cookies' de inicio de sesión de cuenta robadas, lo que le permitió eludir los sistemas de autentificación para realizar actividades maliciosas empleando la interfaz de usuario de GitHub.
Para los analistas de Checkmarx, este método de apropiación de cuentas "es preocupante", porque no requiere que el actor malicioso conozca la contraseña de la cuenta de usuario vulnerada. También han comentado que entre la información confidencial a la que tuvieron acceso los usuarios se incluían datos del navegador -ya fuera Opera, Chrome, Vivaldi o Edge, entre otros-, datos de Discord, carteras de criptomonedas, sesiones de Telegram, archivos del PC -descargas, documentos, archivos recientes, etc.- o datos de Instagram.
Asimismo, han señalado que una análisis más detallado de la carga útil maliciosa revela que el 'malware' también incluye un componente de registro de teclas, de modo que captura las pulsciones y las guarda en un archivo, que después se carga en el servidor del atacante.
De esta manera, los ciberdelincuentes pueden monitorizar y registrar los datos escritos por la víctima, exponiendo potencialmente información confidencial, como credenciales o detalles financieros.
La empresa de ciberseguridad ha comentado finalmente que esta campaña "es un excelente ejemplo de las tácticas sofisticadas empleadas por actores maliciosos para distribuir 'malware' malicioso a través de plataformas confiables", como es el caso de PyPI y GitHub.
En este sentido, ha comentado que este hecho resalta la importancia de vigilar la instalación de paquetes y repositorios, examinando minuciosamente las dependencias y monitorizando actividades sospechosas en la red.
