Los investigadores de seguridad destacan otra estafa que se ha vuelto popular entre los piratas informáticos en los últimos años. Los paquetes de código infectados con líneas de comando maliciosas sirven como tropas de choque.
El departamento de investigación de Check Point Software advierte a todo el personal de seguridad de TI sobre los paquetes de códigos fraudulentos. Esta estafa se puede contar entre los ataques a la cadena de suministro y los ataques a la cadena de valor, que han aumentado significativamente. Los ciberdelincuentes intentan penetrar en los sistemas de empresarios y particulares de diversas formas, y los paquetes de códigos son el nuevo vehículo de los piratas informáticos.
Codificar paquetes como vehículos
En los últimos años, los delincuentes los han usado cada vez más para sus propósitos: ya sea contrabandeando líneas de comando maliciosas en paquetes de código genuino distribuidos a través de repositorios en línea y administradores de paquetes, o simplemente lanzando paquetes de código malicioso que parecen legítimos. Sobre todo, esto desacredita a los proveedores externos realmente confiables de tales repositorios y tiene un impacto en los ecosistemas de TI de código abierto, a menudo generalizados. Se apunta especialmente a Node.js (NPM) y Python (PyPi).
Ejemplo 1
El 8 de agosto, el paquete de código infectado Python-drgn se subió a PyPi, abusando del nombre del paquete real drgn. Aquellos que lo descargan y lo usan permiten que los piratas informáticos que están detrás de ellos recopilen información privada de los usuarios para venderla, hacerse pasar por ellos, apoderarse de las cuentas de los usuarios y recopilar información sobre los empleadores de las víctimas. Estos se envían a un canal privado de Slack. Lo peligroso es que solo incluye un archivo setup.py, que en el lenguaje Python solo se usa para instalaciones y obtiene automáticamente paquetes de Python sin interacción del usuario. Esto solo hace que el archivo sea sospechoso, ya que faltan todos los demás archivos de origen habituales. Por lo tanto, la parte maliciosa se esconde en este archivo de instalación.
Ejemplo 2
El paquete de código infectado bloxflip también se ofreció en PyPi, que abusa del nombre de Bloxflip.py. Esto primero deshabilita Windows Defender para evitar la detección. Después de eso, descarga un archivo ejecutable (.exe) usando la función Get de Python. A continuación, se inicia un subproceso y el archivo se ejecuta en el entorno de desarrollador del sistema, sensible y privilegiado.
El año 2022 muestra cuán importante es la advertencia de los investigadores de seguridad contra este método: la cantidad de paquetes de códigos maliciosos aumentó en un 2021 por ciento en comparación con 633.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.