Los investigadores de seguridad cibernética han descubierto un paquete malicioso en el repositorio del índice de paquetes de Python (PYPI) que se disfraza de una utilidad relacionada con la discordia aparentemente inofensiva, pero incorpora un troyano de acceso remoto.
El paquete en cuestión es DiscordPyDebug, que se cargó a PYPI el 21 de marzo de 2022. Se ha descargado 11,574 veces y continúa disponible en el registro de código abierto. Curiosamente, el paquete no ha recibido ninguna actualización desde entonces.
«A primera vista, parecía ser una utilidad simple dirigida a desarrolladores que trabajan en bots de discordia utilizando la biblioteca Discord.py», dijo el equipo de investigación de Socket. «Sin embargo, el paquete ocultó un troyano de acceso remoto completamente funcional (rata)».
El paquete, una vez instalado, contacta a un servidor externo («Backstabprotection.jamesx123.repl (.) Co»), e incluye características para leer y escribir archivos arbitrarios basados en comandos, readfile o writefile, recibido desde el servidor. La rata también admite la capacidad de ejecutar comandos de shell.
En pocas palabras, DiscordPyDebug podría usarse para leer datos confidenciales, como archivos de configuración, tokens y credenciales, tambalear con archivos existentes, descargar cargas útiles adicionales y ejecutar comandos para exfiltrar datos.
«Si bien el código no incluye mecanismos de persistencia o escalada de privilegios, su simplicidad lo hace particularmente efectivo», dijo Socket. «El uso de encuestas HTTP salientes en lugar de conexiones entrantes le permite evitar la mayoría de los firewalls y herramientas de monitoreo de seguridad, especialmente en entornos de desarrollo menos estrechamente controlados».
El desarrollo se produce cuando la compañía de seguridad de la cadena de suministro de software también descubrió más de 45 paquetes NPM que se hacían pasar por bibliotecas legítimas disponibles en otros ecosistemas como una forma de engañar a los desarrolladores para que los instenen. Algunos de los notables se enumeran a continuación –
- BeautifulSoup4 (un tipo tipográfico de la biblioteca beautifulsoup4 python)
- Apache-HttpClient (un tipo de tipográfico de la biblioteca Java de Apache HttpClient)
- Opentk (un tipo de tipográfico de la biblioteca .NET de Opentk)
- Seborn (un tipo de tipográfico de la biblioteca de Python Seaborn)
Se ha encontrado que todos los paquetes identificados comparten la misma infraestructura, utilizan cargas útiles ofuscadas similares y apuntan a la misma dirección IP, a pesar de enumerar diferentes mantenedores, lo que indica el trabajo de un solo actor de amenaza.
«Los paquetes identificados como parte de esta campaña contienen un código ofuscado diseñado para evitar medidas de seguridad, ejecutar scripts maliciosos, exfiltrar datos confidenciales y mantener la persistencia en los sistemas afectados», dijo Socket.
