Investigadores de ciberseguridad detectan paquetes maliciosos en Python Package Index (PyPI)
Dos paquetes maliciosos, NP6HelperHttptest y NP6HelperHttper, fueron encontrados en el PyPI, utilizando la técnica de DLL side-loading para eludir la detección de sistemas de seguridad y ejecutar código malicioso. Antes de que fueran retirados, los paquetes fueron descargados 537 y 166 veces, respectivamente. El investigador de ReversingLabs, Petar Kirhmajer, informó que NP6 es un nombre reconocido por su solución de automatización de marketing creada por ChapsVision. Las falsas versiones NP6HelperHttp y NP6HelperConfig se parecen a las herramientas de ayuda publicadas en PyPI por un empleado de ChapsVision para engañar a los desarrolladores y hacer que descarguen sus contrapartes falsas.
Los paquetes maliciosos contienen un script que tiene como objetivo descargar un ejecutable real de Kingsoft Corporation («ComServer.exe«) vulnerable al DLL side-loading y el DLL malicioso («dgdeskband64.dll«) que se debe cargar al lado. El objetivo es evitar la detección del código malicioso. Los paquetes son parte de una campaña más amplia que involucra la distribución de ejecutables similares susceptibles al DLL side-loading. El DLL se comunica con un dominio controlado por el atacante para obtener un archivo GIF que en realidad es un código de shell para un Beacon de Cobalt Strike, una herramienta de post-explotación.
Es importante que las organizaciones de desarrollo estén conscientes de las amenazas relacionadas con la seguridad de la cadena de suministro y los repositorios de paquetes de código abierto. Aunque no estén utilizando repositorios de paquetes de código abierto, los actores maliciosos podrían hacerse pasar por empresas y sus productos y herramientas de software.
Vía The Hacker News
