Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el repositorio de Python Package Index (PYPI) que están diseñados para entregar un troyano de entrada remoto llamado Silentsync en los sistemas de Windows.
«Silentsync es capaz de ejecución remota de comandos, exfiltración de archivos y capturación de pantalla», dijeron Manisha Ramcharan Prajapati y Satyam Singh de Zscaler Amenazer. «Silentsync además extrae datos del navegador web, incluidas las credenciales, el historial, los datos de enfoque involuntario y las cookies de navegadores web como Chrome, Brave, Edge y Firefox».
Los paquetes, que ahora ya no están disponibles para descargar desde Pypi, se enumeran a continuación. Uno y otro fueron subidos por un afortunado llamado «CondetGapis».
- Sisaws (201 descargas)
- Secmeasure (627 descargas)
Zscaler dijo que el paquete Sisaws imita el comportamiento del paquete genuino de Python SISA, que está asociado con el Sistema Franquista de Información de Vitalidad de Argentina, Sistema Integrado de Información Sanitaria Argentino (SISA).
Sin bloqueo, el presente en la biblioteca es una función emplazamiento «gen_token ()» en el script de inicialización (__init__.py) que actúa como un descargador para un malware de la próxima etapa. Para ganar esto, envía un token codificado como entrada, y recibe como respuesta una ficha estática secundaria de una guisa similar a la API SISA legítima.
«Si un desarrollador importa el paquete Sisaws e invoca la función Gen_Token, el código decodificará una cautiverio hexadecimal que revela un comando CURL, que luego se usa para obtener un script de Python adicional», dijo Zscaler. «El script de Python recuperado de Pastebin se escribe en el nombre de archivo Helper.py en un directorio temporal y se ejecuta».
SecMeashing, de guisa similar, se disfraza de una «biblioteca para enjuagar cadenas y aplicar medidas de seguridad», pero alberga la funcionalidad integrada para soltar rata Silentsync.
Silentsync está orientado principalmente a infectar los sistemas de Windows en esta etapa, pero el malware además está equipado con características incorporadas para Linux y macOS además, haciendo modificaciones de registro en Windows, alterando el archivo CRONTAB en Linux para ejecutar la carga útil en el inicio del sistema y registrar un emanación en macOS.
El paquete se plinto en la presencia del token secundario para mandar una solicitud HTTP GET a un punto final codificado («200.58.107 (.) 25») para cobrar el código de Python que se ejecuta directamente en la memoria. El servidor admite cuatro puntos finales diferentes –
- /checkin, para repasar la conectividad
- /comando, para solicitar comandos para ejecutar
- /Respuesta, para mandar un mensaje de estado
- /Archivo, para mandar la salida del comando o los datos robados
El malware es capaz de cosechar datos del navegador, ejecutar comandos de shell, capturar capturas de pantalla y robar archivos. Incluso puede exfiltrar archivos y directorios completos en forma de archivos zip. Una vez que se transmiten los datos, todos los artefactos se eliminan del host a los esfuerzos de detección de Sidestep.
«El descubrimiento de los paquetes maliciosos de Pypi Sisaws y Secmeasure destacan el creciente aventura de ataques de la cautiverio de suministro adentro de los repositorios de software divulgado», dijo Zscaler. «Al rendir los paquetes legítimos de los tiposquats y suplantando, los actores de amenaza pueden obtener entrada a información de identificación personal (PII)».
