Investigadores de ciberseguridad han descubierto dos paquetes maliciosos en el repositorio Python Package Index (PyPI) que contienen la capacidad de entregar un troyano de acceso remoto (RAT) haciéndose pasar por un corrector ortográfico.
Los paquetes denominados Spellcheckerpy y Spellcheckpy no están disponibles actualmente en PyPI, pero anteriormente se descargaron más de 1000 veces juntos.
«Oculto dentro del archivo del diccionario vasco había una carga útil codificada en base64 que descargaba un Python RAT con todas las funciones», dijo el investigador de Aikido Charlie Eriksen. «Los atacantes primero publicaron tres versiones ‘inactivas’ con la carga útil presente y sin disparadores, luego activaron el interruptor con Spellcheckpy v1.2.0 y agregaron un disparador de ejecución ofuscado que se activa en el momento en que se importa SpellChecker».
A diferencia de otros paquetes que ocultan funcionalidad maliciosa dentro del script «__init__.py», se descubrió que los atacantes detrás de la campaña agregaban una carga útil dentro de un archivo llamado «resources/eu.json.gz» que contiene frecuencias vascas del paquete legítimo pyspellchecker.
Aunque este paquete parece benigno a primera vista, se desencadena un comportamiento malicioso cuando el archivo se extrae usando la función test_file() con el parámetro test_file(«eu», «utf-8», «spellchecker»), recuperando un descargador codificado en Base64 oculto bajo la clave «spellchecker» en el diccionario.
Curiosamente, las tres primeras versiones del paquete solo obtuvieron y decodificaron la carga útil, pero no la ejecutaron. Sin embargo, eso cambió con el lanzamiento de Spellcheckpy versión 1.2.0, publicada el 21 de enero de 2026, que ahora también permite ejecutar cargas útiles.
La primera etapa es un descargador diseñado para recuperar un RAT basado en Python desde un dominio externo (‘updatenet(.)work’). Puede tomar huellas digitales de hosts comprometidos y analizar y ejecutar comandos recibidos. Registrado a finales de octubre de 2025, este dominio está asociado con la dirección IP 172.86.73(.)139, administrada por RouterHosting LLC (también conocido como Cloudzy), un proveedor de alojamiento con un historial de servicios a grupos nacionales.
Esta no es la primera vez que se detecta un corrector ortográfico de Python falso en PyPI. En noviembre de 2025, HelixGuard anunció el descubrimiento de un paquete malicioso llamado «correctores ortográficos» que tiene la capacidad de recuperar y ejecutar cargas útiles RAT. Se sospecha que estos dos ataques son obra del mismo atacante.
Este desarrollo coincide con el descubrimiento de varios paquetes npm maliciosos que facilitan el robo de datos y apuntan a billeteras de criptomonedas.
Flockiali (1.2.3-1.2.6), opresc (1.0.0), prndn (1.0.0), oprnm (1.0.0) y operni contienen archivos JavaScript únicos que, cuando se cargan, son utilizados por Microsoft como parte de una campaña de phishing dirigida que ataca a empleados de ciertas empresas industriales y energéticas en Francia, Alemania, España, los Emiratos Árabes Unidos y los Estados Unidos. Aparecerá una pantalla de inicio de sesión falsa con la marca. ansi-universal-ui (1.3.5, 1.3.6, 1.3.7, 1.4.0, 1.4.1). Se hace pasar por una biblioteca de componentes de interfaz de usuario, pero implementa un ladrón basado en Python llamado G_Wagon que roba credenciales de navegador web, billeteras de criptomonedas, credenciales de nube y tokens de Discord en un depósito de almacenamiento de Appwrite.
Esta revelación se produce al mismo tiempo que Aikido destacó la amenaza asociada con el slopsquatting, donde un agente impulsado por inteligencia artificial (IA) alucina con un paquete inexistente, que luego puede ser utilizado por actores de amenazas para enviar código malicioso a los usuarios posteriores.
En un caso destacado por la empresa de seguridad de la cadena de suministro, un gran modelo de lenguaje creó un paquete npm ficticio llamado «react-codeshift» a mediados de octubre de 2025 y desde entonces ha sido referenciado por 237 repositorios de GitHub, algunos de los cuales incluso dijeron a los agentes de IA que lo instalaran.
«¿Cómo se distribuyó entre 237 repositorios? Archivos de habilidades de los agentes. Copiados y pegados, bifurcados, traducidos al japonés y nunca verificados», dijo Eriksen. «Las habilidades son código nuevo. No se parecen. Markdown y YAML, instrucciones sencillas. Pero son ejecutables. El agente de IA las sigue sin preguntar: ‘¿Existe realmente este paquete?'»
Source link
