Los piratas informáticos utilizan cada vez más sus propios paquetes de código para los ataques o insertan líneas de comando maliciosas en paquetes de código distribuidos a través de repositorios en línea y administradores de paquetes. La estafa se está volviendo cada vez más popular entre los piratas informáticos. El aumento de 2021 a 2022 ya superó el 600 por ciento, según Check Point.
Check Point Research (CPR), el departamento de investigación de Check Point Software Technologies, advierte a todas las fuerzas de seguridad de TI sobre los paquetes de códigos fraudulentos. ThreatCloud encontró varios objetos maliciosos. Esta estafa se puede contar entre los ataques a la cadena de suministro y los ataques a la cadena de valor, que han aumentado significativamente.
Los paquetes de código de confianza están infectados
Los ciberdelincuentes intentan penetrar en los sistemas de empresarios y particulares de diversas formas, y los paquetes de códigos son el nuevo vehículo de los piratas informáticos. En los últimos años, según CPR, los delincuentes han abusado cada vez más de ellos para sus propósitos: ya sea contrabandeando líneas de comando maliciosas en paquetes de código real distribuidos a través de repositorios en línea y administradores de paquetes, o simplemente lanzando paquetes de código malicioso, que parecen legítimos. Sobre todo, esto desacredita a los proveedores externos realmente confiables de tales repositorios y tiene un impacto en los ecosistemas de TI de código abierto, a menudo generalizados. Se apunta especialmente a Node.js (NPM) y Python (PyPi).
Ejemplo 1: el 8 de agosto, el paquete de código infectado Python-drgn se subió a PyPi, lo que hace un uso indebido del nombre del paquete real drgn. Aquellos que lo descargan y lo usan permiten que los piratas informáticos que están detrás de ellos recopilen información privada de los usuarios para venderla, hacerse pasar por ellos, apoderarse de las cuentas de los usuarios y recopilar información sobre los empleadores de las víctimas. Estos se envían a un canal privado de Slack. Lo peligroso es que solo incluye un archivo setup.py, que en el lenguaje Python solo se usa para instalaciones y obtiene automáticamente paquetes de Python sin interacción del usuario. Esto solo hace que el archivo sea sospechoso, ya que faltan todos los demás archivos de origen habituales. Por lo tanto, la parte maliciosa se esconde en este archivo de instalación.
El código del paquete deshabilita Windows Defender
Ejemplo 2: el paquete de código infectado bloxflip, que hace un uso indebido del nombre Bloxflip.py, también se ofreció en PyPi. Esto primero deshabilita Windows Defender para evitar la detección. Después de eso, descarga un archivo ejecutable (.exe) usando la función Get de Python. A continuación, se inicia un subproceso y el archivo se ejecuta en el entorno de desarrollador del sistema, sensible y privilegiado.
El año 2022 muestra cuán importante es la advertencia de los investigadores de seguridad contra este método: la cantidad de paquetes de códigos maliciosos aumentó en un 2021 por ciento en comparación con 633. Para protegerse, Check Point aconseja: Compruebe siempre la autenticidad de todos los códigos fuente de los programas y paquetes de terceros. Cifre siempre los datos importantes, tanto en tránsito como en reposo. Llevar a cabo auditorías periódicas de los paquetes de código utilizados.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.