Los investigadores de seguridad cibernética han descubierto paquetes maliciosos cargados en el repositorio del índice de paquetes de Python (PYPI), que sirve como una herramienta de verificación para verificar las direcciones de correo electrónico robadas para las API de Tiktok e Instagram.
Los tres paquetes ya no están disponibles en PYPI. El nombre del paquete Python es el siguiente:
Checker-sagaf (2,605 descargas) Steinlurks (1,049 descargas) Sinnercore (3,300 descargas)
«Realmente para ese nombre, Checker-Sagaf verificará si los correos electrónicos están asociados con las cuentas de Tiktok e Instagram», dijo Olivia Brown de la investigadora de Socket en un análisis publicado la semana pasada.
Específicamente, el paquete está diseñado para enviar solicitudes de publicación HTTP a la API de recuperación de contraseña de Tiktok y los puntos finales de inicio de sesión de la cuenta de Instagram, determinando si la dirección de correo electrónico aprobada como entrada es válida. Esto significa que hay un propietario de una cuenta que corresponde a esa dirección de correo electrónico.
«Si el actor de amenaza tiene esta información solo de una dirección de correo electrónico, puede llevar a cabo un ataque de informes falsos que amenaza el DOX o el spam y suspender la cuenta, o verificar solo la cuenta de destino antes de lanzar un relleno de certificación o exploit de spray de contraseña», dijo Brown.
«Las listas de usuarios validadas se venden con fines de lucro en Dark Web. La creación de un diccionario de correo electrónico activo puede parecer inofensivo, pero esta información permite, acelera y minimiza la detección al dirigirse a cuentas de validación solo conocidas».
El segundo paquete, «Steinlurks», se dirige a su cuenta de Instagram de manera similar al enviar una solicitud de publicación HTTP forjada para imitar la aplicación Android de Instagram y evitar la detección. Lograr esto apuntando a diferentes puntos finales de API –
I.instagram (.) Com/api/v1/users/lookup/i.instagram (.) Com/api/v1/bloks/apps/com.bloks.ww.caa.ar.search.async/instagram (.) Com/api/v1/counts/send_ecovery/www.instagram (.) COM/API/v1/web/webails
Mientras tanto, «SinnerCore» está destinado a activar el flujo de contraseña olvidada para un nombre de usuario en particular, dirigido a una solicitud HTTP falsa que contiene el nombre de usuario de destino con el punto final API «Biinstagram (.) Com/API/V1/Cuentas/Send_Password_Reset/».
«También hay características que se dirigen al telegrama, lo que significa que puede extraer nombres, ID de usuario, BIOS, estado premium y otros atributos», explicó Brown.
«Algunos de SINNERCORE se centran en los servicios públicos de cifrado, como obtener precios de binanzas en tiempo real y conversiones de divisas. Se dirigen si están obteniendo más información sobre los paquetes PYPI, usándolos para perfiles de desarrolladores falsos o fingiendo ser un desarrollador».
Esta divulgación es que ReversingLabs detalló otro paquete malicioso llamado «dbgpkg» avergonzado como una utilidad de depuración, pero un paquete malicioso llamado «dbgpkg» que incrusta una puerta trasera en el sistema del desarrollador para facilitar la ejecución de código y la eliminación de datos. El paquete ya no es accesible, pero se estima que se ha descargado unas 350 veces.
Curiosamente, descubrí que el paquete en cuestión contiene la misma carga útil que la carga útil integrada en «DiscordpyDebug». ReversingLabs también declaró que ha identificado un tercer paquete llamado «Requestsdev», que se cree que es parte de la misma campaña. Atrajo 76 descargas antes de ser derrotado.
Un análisis posterior determinó que la técnica de puerta trasera para paquetes que usan GSocket era similar a la de Phoenix Hyena (también conocido como Dumpforums o Silent Crow), un grupo hacktivista conocido por apuntar a grupos rusos, incluida la web Doctor Web, después de la Guerra Russa-Ukrrainiana a principios de 2022.
Aunque la atribución es tentativa en el mejor de los casos, ReversingLabs señaló que esta actividad también podría ser el trabajo de los actores de amenaza de imitación. Sin embargo, el uso de la misma carga útil y el hecho de que «Discordpydebug» se cargó por primera vez en marzo de 2022 fortalece el caso para posibles conexiones con Phoenix Hyena.
«Las técnicas maliciosas utilizadas en esta campaña, como el uso de ciertos tipos de implantes de puerta trasera y envoltura de funciones de Python, muestran que los actores de amenaza detrás de ella son sofisticados y extremadamente cautelosos para evitar la detección», dijo el investigador de seguridad Karlo Zanki.
«El uso de envoltura funcional y herramientas como el kit de herramientas de socket global muestra que los actores de amenaza detrás de esto apuntan a establecer una presencia a largo plazo en el sistema comprometido sin ser notados».
Los hallazgos son consistentes con el descubrimiento de un paquete NPM malicioso llamado «koishi -plugin -pinhaofa», que instala las puertas traseras de exfiltración de datos en chatbots equipados con el marco Koishi. Los paquetes ya no se pueden descargar desde NPM.
«El complemento se vendió como un hechizo de hechizo escanean todos los mensajes en la cadena de seis cuerdas de ocho caracteres», dijo el investigador de seguridad Kirill Boychenko. «Cuando lo encuentra, reenvía el mensaje completo e incluye el secreto o las credenciales potencialmente incrustadas en una cuenta QQ codificada».
«Ocho caracteres hexatrizs a menudo truncan el git corta confirmando los tokens hash, JWT o API, que representan las sumas de verificación CRC -32, segmentos de plomo GUID o números de serie del dispositivo, cada uno de los cuales puede desbloquear un sistema más amplio o asignar activos internos.
Source link
