Paquete malicioso de repositorio de Python lanza Cobalt Strike en sistemas Home windows, macOS y Linux



Los repositorios públicos de código fuente abierto son una parte fundamental de la cadena de suministro de computer software que muchas organizaciones utilizan para crear aplicaciones. Por lo tanto, son un objetivo atractivo para los adversarios que buscan distribuir malware a una audiencia masiva.

El último caso en cuestión es un paquete malicioso para distribuir Cobalt Strike en sistemas Windows, macOS y Linux, que se cargó en el registro Python Package Index (PyPI) ampliamente utilizado para desarrolladores de aplicaciones Python. El paquete «pymafka» tiene un nombre que es muy related a «PyKafka», un common cliente de Apache Kafka para Python que se ha descargado más de 4,2 millones de veces hasta el momento.

Más de 300 usuarios fueron engañado para descargar el paquete malicioso, pensando que period el código legítimo, antes de que los investigadores de Sonatype descubrieran el problema y lo informaran al registro de PyPI. Desde entonces se eliminó, pero las aplicaciones que incorporaron el script malicioso siguen siendo una amenaza.

Segundo incidente de Typosquatting en un mes

El incidente marca el segundo incidente de typo-squatting relacionado con el proyecto Apache Kafka que los investigadores de Sonatype descubrieron este mes. Anteriormente, descubrieron un paquete en PyPI que tenía el mismo nombre que un proyecto de Python relacionado con Kafka en GitHub llamado «karaspace». Aunque el paquete malicioso en PyPI tenía el mismo nombre que el proyecto legítimo, fue diseñado para robar direcciones IP, nombres de usuario y otra información para los dispositivos de huellas dactilares en los que se instaló el paquete.

En un blog el viernes, Sonatype describió a pymafka como diseñado para detectar la plataforma en la que está instalado y luego incrustar una versión apropiada del sistema operativo de una baliza Cobalt Strike en el dispositivo. Cobalt Strike a menudo se usa maliciosamente para el movimiento lateral dentro de un entorno de purple de destino.

Sonatype dijo que observó que los ejecutables se descargaban desde una dirección IP asociada con el proveedor de alojamiento en la nube Vultr. Una vez instalada en un sistema, la baliza intenta comunicarse con una dirección IP de China asignada a Alibaba.

«Menos de un tercio de los motores antivirus detectaron las muestras como maliciosas en el momento de nuestro envío a VirusTotal, aunque sigue siendo una mejor tasa de detección que las detecciones cero observadas en algunos de nuestros descubrimientos anteriores», según Sonatype.

Confianza ciega

El incidente de pymafka es el último de un número creciente de incidentes de seguridad que involucran a PyPI y otros repositorios públicos. Por ejemplo, en noviembre pasado, los investigadores de JFrog descubrieron 11 paquetes maliciosos de Python en PyPI. En julio, descubrieron paquetes PyPI maliciosos que intentaban robar datos de tarjetas de crédito y otra información de algunos 30.000 sistemas en el que se habían instalado los paquetes. El mismo mes, un investigador japonés informó sobre un problema de seguridad que les dio a los atacantes una forma de ejecutar remotamente código malicioso en el registro

«Los desarrolladores confían ciegamente en los repositorios e instalan paquetes de estas fuentes, asumiendo que son seguros», advirtió JFrog el año pasado. «A veces, se permite que los paquetes de malware se carguen en el repositorio de paquetes, lo que brinda a los actores maliciosos la oportunidad de usar los repositorios para distribuir virus y lanzar ataques exitosos tanto en el desarrollador como en [continuous integration/continuous delivery] Máquinas de CI/CD en proyecto».

Las preocupaciones sobre el creciente interés de los atacantes en los repositorios públicos han provocado varias iniciativas de seguridad en PyPI en los últimos años. Estos incluyen el adición de autenticación de dos factores como una opción de inicio de sesión y tokens API para cargar computer software en el registro, un resolución de dependencia para garantizar que el instalador del paquete pip instale las versiones correctas de las dependencias del paquete, y creando bases de datos de vulnerabilidades conocidas de Python en proyectos PyPI.

Las preocupaciones sobre la seguridad de la cadena de suministro de software también han impulsado otras iniciativas más estratégicas. A principios de este mes, el Instituto Nacional de Estándares y Tecnología (NIST) actualizó su guía de seguridad cibernética con nuevas recomendaciones para abordar los riesgos en la cadena de suministro de program. MITRE también ha lanzado un prototipo de marco llamado Sistema de confianza que las organizaciones pueden usar para evaluar las prácticas de seguridad de los proveedores de servicios y proveedores en la cadena de suministro de program.



Enlace a la noticia primary