...
Hackers Norcoreanos Despliegan Nuevos Paquetes Maliciosos En Pypi 1

Hackers Norcoreanos Despliegan Nuevos Paquetes Maliciosos en PyPI

Hackers norcoreanos atacan nuevamente

Se han descubierto tres paquetes Python maliciosos adicionales en el repositorio Package Index (PyPI) como parte de una campaña continua de software malicioso llamada VMConnect.

Python Package Index - Wikipedia

Las evidencias apuntan a la participación de actores de amenazas patrocinados por el estado norcoreano.

Descubrimientos de ReversingLabs

Los hallazgos provienen de ReversingLabs, que detectó los paquetes tablediter, request-plus y requestspro. Estos paquetes imitan herramientas Python populares para descargar un malware desconocido en una segunda etapa.

Técnicas de Typosquatting

Los actores maliciosos están disfrazando sus paquetes y haciéndolos parecer confiables utilizando técnicas de typosquatting. Esto para confundir a los desarrolladores al imitar paquetes populares como prettytable y requests.

Funcionamiento del código malicioso

El código nefasto dentro de tablediter está diseñado para ejecutarse en un bucle infinito. Este consulta periódicamente a un servidor remoto para recuperar y ejecutar una carga útil codificada en Base64.

Cambios notables en tablediter

Uno de los principales cambios en tablediter es que ya no activa el código malicioso inmediatamente después de la instalación. Esto para evadir la detección de software de seguridad.

Codigo Malicioso De Pypi Por Hackers Norcoreanos

Otros paquetes y sus funciones

Los paquetes request-plus y requestspro tienen la capacidad de recopilar información sobre la máquina infectada. Luego transmiten esta información a un servidor de comando y control (C2).

Conexiones con Corea del Norte

El uso de un enfoque basado en tokens para pasar desapercibidos se asemeja a una campaña npm revelada en junio. Esta ha sido asociada con actores norcoreanos.

GitHub, propiedad de Microsoft, atribuyó los ataques a un actor de amenazas llamado Jade Sleet, también conocido como TraderTraitor o UNC4899.

TraderTraitor y sus objetivos

TraderTraitor es una de las principales armas cibernéticas de Corea del Norte en sus esquemas de hackeo con fines de lucro. Ha tenido éxito al apuntar a empresas de criptomonedas y otros sectores para obtener ganancias financieras.

Otros hallazgos relacionados

ReversingLabs encontró un paquete Python llamado py_QRcode con funcionalidad maliciosa similar a VMConnect. Se dice que py_QRcode fue utilizado en un ataque dirigido a desarrolladores de intercambios de criptomonedas en mayo de 2023.

Como Generar Un Codigo Qr Con Python
Pyqrcode

Conclusión

«Este es solo otro ataque malicioso dirigido a usuarios del repositorio PyPI», dijo Zanki. Los actores de amenazas continúan utilizando el repositorio PyPI como punto de distribución para su malware.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio