Los investigadores de ciberseguridad han descubierto paquetes maliciosos en el repositorio de Python Package Index (PYPI). Esto introduce un comportamiento malicioso a través de dependencias que pueden establecer persistencia y habilitar la ejecución del código.
Un paquete llamado Themcolor ofrece su funcionalidad espeluznante a través de un paquete de dependencia llamado Colorinal con operaciones de malware de varias etapas, dijo Zscaler Ameniclabz. Mientras que Termcolor se ha descargado 355 veces, Colorinal atrajo a 529 descargas. Ambas bibliotecas ya no están disponibles para PYPI.
«Este ataque podría aprovechar las devoluciones de DLL para promover la decodificación, establecer persistencia, implementar la comunicación de comando y control (C2) y terminar con la ejecución de código remoto», dijeron los investigadores Manisha Ramcharan Prajapati y Satyam Singh.
Una vez instalado y ejecutado, TermnColor está diseñado para importar colorinal y carga la DLL Rogue responsable de descifrar y ejecutar la siguiente carga útil.
Específicamente, la carga útil desempaqueta el legítimo binario «vcpktsvr.exe» y un DLL llamado «libcef.dll» que se lanza utilizando la respuesta lateral DLL. En esa parte, la DLL puede recopilar información del sistema y comunicarse con el servidor C2 usando Zulip, una aplicación de chat de código abierto, para ocultar la actividad.
«La permanencia se logra mediante la creación de una entrada de registro debajo de la tecla Windows Run para garantizar que el malware se ejecute automáticamente al inicio del sistema», dijo Zscaler.
El malware también puede infectar los sistemas Linux. La biblioteca de Python desbloquea la misma funcionalidad al eliminar los archivos de objetos compartidos llamados «terminate.so».
Un análisis posterior de las actividades de zulip de los actores de amenaza reveló tres usuarios activos dentro de la organización creada, intercambiando un total de 90,692 mensajes dentro de la plataforma. Se cree que el autor de malware estuvo activo desde el 10 de julio de 2025.
«El paquete de término y su dependencia maliciosa subrayan la importancia de monitorear el ecosistema de fuerza abierta para posibles ataques de la cadena de suministro», dijo la compañía.
Como SlowMist revela que los actores de amenaza están apuntando a desarrolladores, expande los detalles del servidor externo al dirigirse a los desarrolladores bajo evaluaciones de empleo por repositorio clonado de GitHub que contiene paquetes de NPM de trampa booby que pueden cosechar llaves iCloud, navegadores web y datos de billeteras de criptioconturas.
El paquete NPM está diseñado para descargar y ejecutar scripts de Python, capturar información del sistema, escanear sistemas de archivos para archivos confidenciales, robar credenciales, robar teclas de registro, tomar capturas de pantalla y monitorear el contenido de portaplelo.
La lista de paquetes identificados ahora se ha eliminado de NPM, pero se puede encontrar a continuación –
Redux-ACE (163 descargas) RTK-Logger (394 descargas)
En los últimos meses, se ha descubierto que los paquetes de NPM maliciosos dirigidos a la comunidad de seguridad cibernética promueven el robo de datos y la minería de criptomonedas a través de paquetes dependientes para eliminar la información de los sistemas infectados utilizando servicios legítimos como Dropbox.
Los investigadores de Datadog Christophe Tafani-Dereeeperer y Matt Muir dijeron que estos paquetes se distribuyen a objetivos bajo la apariencia del código de prueba de concepto malicioso (POC) para fallas de seguridad o parches de núcleo que proporcionan mejoras de rendimiento. Esta actividad se atribuye a un actor de amenaza que lo rastrea como Mut-1244.
Este desarrollo continúa con un informe ReversingLab que identifica los riesgos asociados con las actualizaciones de dependencia automatizada, especialmente cuando se utilizan proyectos comprometidos en miles de otros proyectos, si amplifican los riesgos de la cadena de suministro de software.
Esto se ejemplifica mediante un compromiso reciente en el paquete NPM de Eslint-Config-Prettier mediante un ataque de phishing que permite a los atacantes sin nombre empuje directamente al registro de NPM sin comprometer o extraer las solicitudes del apositorio de GitHub correspondiente.
La compañía de seguridad de la cadena de suministro de software ha descubierto que más de 14,000 paquetes declaran que el-config-administrador es una dependencia directa.
«Debido a que esta es una configuración de la herramienta de desarrollo utilizada para formatear el código, esperamos que deba declararse como un desarrollador dependiente de los paquetes utilizados. Por lo tanto, no debe instalarse automáticamente cuando el comando de instalación de NPM se ejecuta de la misma manera que una dependencia regular.
«Las herramientas de control de versiones automatizadas como Depenabot están diseñadas para eliminar el riesgo de dependencias que tienen problemas de seguridad en la base de código, pero (…) irónicamente, introduce problemas de seguridad aún mayores como compromisos maliciosos».
Source link
