Se ha revelado un nuevo conjunto de 60 paquetes maliciosos, dirigidos al ecosistema Rubygems, equipándolos con herramientas de automatización inofensivas para robar credenciales de usuarios desprevenidos, como herramientas de automatización inofensivas para las redes sociales, blogs o servicios de mensajería.
La actividad ha sido calificada activa desde al menos marzo de 2023, según Software Supply Chain Security Company Socket. Acumulativamente, la gema se ha descargado más de 275,000 veces.
Dicho esto, no todas las descargas se realizan y algunas de estas gemas se pueden descargar a una sola máquina, por lo que este diagrama puede no representar con precisión el número real de sistemas comprometidos.
«Los actores de amenaza que usan Aliess Zon, Nowon, Kwonsoonje y Soonje han emitido 60 gemas maliciosas disfrazadas de automatización de Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao y Naver.
La GEM identificada proporcionó características prometedoras, como la publicación a granel y el compromiso, pero tiene una característica secreta para eliminar los nombres de usuario y las contraseñas a los servidores externos bajo el control del actor de amenaza al mostrar una interfaz de usuario gráfica simple para ingresar credenciales de usuario.
Algunas gemas, como NJongTo_Duo y Jongmogtolon, son notables por su enfoque en las plataformas de discusión financiera, y las bibliotecas se venden como herramientas para vender menciones de ticker, narrativas de inventario, foros relacionados con la inversión con un compromiso integrado y un compromiso integrado para amplificar la visibilidad y manipular las percepciones comunes.
Los servidores utilizados para recibir información capturada incluyen los programas (.) Com, AppSpace (.) KR y MarketingDuo (.) Co (.) Kr. Se sabe que estos dominios promueven mensajes a granel, raspado del número de teléfono y herramientas automatizadas de redes sociales.
Las víctimas de la campaña podrían ser vendedores de sombreros grises que confían en tales herramientas para ejecutar spam, optimización de motores de búsqueda (SEO) y campañas de participación que aumentan artificialmente el compromiso.
«Cada joya sirve como ventanas de orientación (pero no exclusivas) dirigidas a los usuarios coreanos». La campaña ha evolucionado en múltiples alias y ondas de infraestructura, lo que sugiere operaciones maduras y permanentes «.
«Al integrar las capacidades de robo de credenciales en gemas, vendidas a usuarios de sombrero de grisos centrados en la automatización, los actores de amenaza capturan en secreto datos confidenciales mientras se combinan en actividades aparentemente legítimas».
Este desarrollo se debe a que GitLab detectó paquetes de múltiples tipo SCAT con un índice de paquetes de Python (PYPI), diseñado para robar criptomonedas de las billeteras de ambos lados secuestrando características legítimas de replanteo. Bittensor y Bittensor – Los nombres de las bibliotecas de Python que imitan el CLI son los siguientes –
Bittenso (versiones 9.9.4 y 9.9.5) Bittenso-cli Qbittensor Bittenso
«Los atacantes parecen tener una operación de replanteo particularmente dirigida por razones calculadas», dice el equipo de investigación de vulnerabilidad de Gitlab. «Al ocultar el código malicioso dentro de una característica de replanteo legalmente de aspecto legal, los atacantes aprovecharon los requisitos técnicos de las operaciones regulares de blockchain como de la psicología del usuario».
Esta divulgación sigue a las nuevas restricciones impuestas por los mantenedores PYPI para asegurar los instaladores de paquetes de Python e inspectores de los ataques de confusión que resultan de la implementación del analizador ZIP.
Dicho de otra manera, Pypi dijo que explotaría los ataques de confusión de Zip y rechazaría las revisiones manuales pasadas y las herramientas de detección de auto-detección para rechazar «ruedas» (solo un archivo zip) que intentan pasar de contrabando cargas de útiles maliciosas.
«Esto se hizo en respuesta al descubrimiento de que los UV de instalación popular tienen un comportamiento de extracción diferente para muchos instaladores basados en Python que utilizan la implementación del analizador ZIP proporcionado por el módulo de biblioteca estándar ZipFile», dice Seth Michael Larson de Python Software Foundation (PSF).
Pypi acredita a Caleb Brown del equipo de seguridad de código abierto de Google y Tim Hatch de Netflix e informó el problema. También dijo que advierte a los usuarios si publican ruedas que no coinciden con el archivo de metadatos récord que contiene contenido postal.
«Después de seis meses de advertencia el 1 de febrero de 2026, Pypi comenzará a rechazar las ruedas recién cargadas que no coinciden con el archivo de metadatos récord que contiene contenido postal», dice Larsen.
Source link
