Investigadores de ciberseguridad descubrieron un paquete malicioso de Python en el repositorio del Índice de Paquetes Python (PyPI) que distribuye un ladrón de información llamado Lumma (también conocido como LummaC2). El paquete afectado es crytic-compilers, una versión con errores tipográficos de la biblioteca legítima crytic-compile. Antes de ser eliminado, este paquete falso fue descargado 441 veces.
El investigador de seguridad de Sonatype, Ax Sharma, señaló que el paquete fraudulento alinea sus números de versión con la biblioteca real para dar la impresión de ser una versión más reciente. Además, se descubrió que algunas versiones de crytic-compilers instalaban el paquete real al modificar el script setup.py.
La última versión del paquete falso verifica si el sistema operativo es Windows y, de ser así, ejecuta un archivo «s.exe» diseñado para obtener cargas adicionales, incluido el Ladrón de Información Lumma. Este malware se ha distribuido a través de varios métodos, como software troyanizado, publicidad maliciosa y actualizaciones falsas de navegadores, bajo un modelo de MaaS.
Según Sharma, este descubrimiento demuestra que los actores de amenazas están atacando a desarrolladores de Python y abusando de registros de código abierto como PyPI para distribuir programas maliciosos.
En un evento relacionado, Sucuri informó que más de 300 sitios de WordPress han sido comprometidos con pop-ups maliciosos que engañan a los visitantes para instalar ladrón de información y troyanos de acceso remoto. Este ataque implica el uso de un complemento legítimo de WordPress llamado Hustle – Email Marketing, Lead Generation, Optins, Popups para subir el código malicioso.
La investigadora de seguridad Puja Srivastava advirtió sobre la creciente tendencia de los hackers de aprovechar complementos legítimos para actividades maliciosas, permitiéndoles evadir la detección por escáneres de archivos al almacenar datos dentro de la base de datos de WordPress.
Vía The Hacker News
