Программисты: ищите этих похитителей информации в указателе пакетов Python.
Недавно были обнаружены и удалены из репозитория PyPI 3 вредоносных пакета, содержащих похитители информации.
Los estudiosos de Fortinet hallaron 3 paquetes cargados entre el siete y el doce de enero por un usuario llamado "Lollip0p". Estos 3 se llaman "colorslib", "httpslib" y "libhttps", y si los ha utilizado ya antes, asegúrese de quitarlos de inmediato.
Por lo general, los ciberdelincuentes que procuran comprometer los puntos finales de los desarrolladores de Python a través de PyPI procurarán cometer fallos tipográficos, dando a sus paquetes maliciosos nombres prácticamente idénticos a los que pertenecen a proyectos lícitos. De esta forma, los desarrolladores que son irresponsables o que tienen prisa pueden, sin saberlo, emplear el malicioso en sitio del limpio.
Кража данных браузера
Esta campaña, no obstante, es diferente, ya que estas 3 tienen nombres únicos. Para producir confianza, el atacante escribió descripciones completas de los paquetes. Si bien el total de descargas para estos 3 dispositivos apenas superó las quinientos, aún podría resultar asolador si es parte de una cadena de suministro más grande, afirma la publicación.
En los 3 casos, los atacantes distribuyen un fichero llamado "setup.py" que, después de ejecutar un PowerShell, procura descargar el ejecutable "Oxyz.exe" de Internet. Conforme los estudiosos, este ejecutable es malicioso y hurta información del navegador. No sabemos precisamente qué tipo de información busca hurtar el malware (se abre en una nueva pestañita), mas los ladrones de información por norma general procuran claves de acceso guardadas, datos de tarjetas de crédito, carteras, criptomonedas y otra información valiosa.
В отчете также установлено, что уровень обнаружения этих исполняемых файлов несколько низок (до XNUMX%), а это означает, что злоумышленники могут успешно перенаправлять данные даже с конечных точек, защищенных антивирусными решениями.
Aunque los paquetes maliciosos ya se han eliminado de PyPI, nada impide que los atacantes sencillamente los descarguen con un nombre diferente y desde una cuenta diferente. Dicho esto, la mejor forma de resguardarse contra este género de ataque a la cadena de suministro es tener singular cuidado al descargar bloques de creación de código de los repositorios.
Через: BleepingComputer (откроется в новой вкладке)
Оставьте ответ