Se ha descubierto un nuevo conjunto de 60 paquetes maliciosos dirigidos al ecosistema Rubygems haciéndose pasar por herramientas de automatización aparentemente inocuas para los servicios de redes sociales, blogs o mensajes para robar credenciales de usuarios desprevenidos.
Se evalúa que la actividad está activa desde al menos en marzo de 2023, según la compañía de seguridad de la cadena de suministro de software Socket. Acumulativamente, las gemas se han descargado más de 275,000 veces.
Dicho esto, es decir que la cifra puede no representar con precisión el número real de sistemas comprometidos, ya que no todos los resultados de descarga en la ejecución, y es posible que varias de estas gemas se hayan descargado a una sola máquina.
«Desde al menos en marzo de 2023, un actor de amenazas que usa el alias Zon, Nowon, Kwonsoonje y Soonje ha publicado 60 gemas maliciosas que se hacen pasar por las herramientas de automatización para Instagram, Twitter/X, Tiktok, WordPress, Telegram, Kakao y Naver», dijo el investigador de seguridad Kirill Boychenko.
Si bien las gemas identificadas ofrecían la funcionalidad prometida, como la publicación a granel o la participación, también albergaron la funcionalidad encubierta para exfiltrar los nombres de usuario y las contraseñas a un servidor externo bajo el control del actor de amenaza al mostrar una interfaz de usuario gráfica simple para ingresar las credenciales de los usuarios.
Algunas de las gemas, como NJongto_Duo y Jongmogtolon, son notables por centrarse en las plataformas de discusión financiera, con las bibliotecas comercializadas como herramientas para inundar foros relacionados con la inversión con menciones de ticker, narrativas de existencias y compromiso sintético para amplificar la visibilidad y manipular la percepción pública.
Los servidores que se utilizan para recibir la información capturada incluyen ProgramZon (.) Com, AppSpace (.) KR y MarketingDuo (.) Co (.) Kr. Se ha encontrado que estos dominios anuncian mensajes a granel, raspado del número de teléfono y herramientas automatizadas de redes sociales.
Es probable que las víctimas de la campaña sean vendedores de sombrero de gris que confían en tales herramientas para ejecutar spam, optimización de motores de búsqueda (SEO) y campañas de compromiso que impulsan artificialmente el compromiso.
«Cada joya funciona como un infoptealer dirigido por Windows, principalmente (pero no exclusivamente) dirigido a los usuarios de Corea del Sur, como lo demuestran los II y la exfiltración en idioma coreano a los dominios .KR», dijo Socket. «La campaña evolucionó a través de múltiples alias e ondas de infraestructura, lo que sugiere una operación madura y persistente».
«Al incorporar la funcionalidad de robo de credenciales dentro de las gemas comercializadas con los usuarios de sombrero de grisos centrados en la automatización, el actor de amenaza captura encubierta datos confidenciales mientras se combina en una actividad que parece legítima».
El desarrollo se produce cuando Gitlab detectó múltiples paquetes de tipogratación en el Índice de paquetes de Python (PYPI) que están diseñados para robar la criptomoneda de las billeteras Bittensor secuestrando las funciones de replanteo legítimas. Los nombres de las bibliotecas de Python, que imitan Bittensor y Bittensor -Cli, están a continuación –
- Bitensor (versiones 9.9.4 y 9.9.5)
- bittenso-cli
- Qbittensor
- inmediatamente
«Los atacantes parecen haber dirigido específicamente las operaciones de apuestas por razones calculadas», dijo el equipo de investigación de vulnerabilidad de Gitlab. «Al ocultar el código malicioso dentro de la funcionalidad de apuestas de aspecto legítimo, los atacantes explotaron tanto los requisitos técnicos como la psicología del usuario de las operaciones de blockchain de rutina».
La divulgación también sigue nuevas restricciones impuestas por los mantenedores de PYPI para asegurar a los instaladores de paquetes de Python e inspectores de los ataques de confusión que surgen de las implementaciones de analgésicos.
Dicho de manera diferente, Pypi dijo que rechazará los paquetes de Python «ruedas» (que no son más que archivos postales) que intentan explotar los ataques con zip y de contrabando de las cargas útiles maliciosas de las revisiones manuales y las herramientas de detección automatizadas.
«Esto se ha hecho en respuesta al descubrimiento de que el popular instalador UV tiene un comportamiento de extracción diferente para muchos instaladores basados en Python que utilizan la implementación del analizador ZIPS proporcionada por el módulo de biblioteca estándar ZipFile», dijo Seth Michael Larson de la Python Software Foundation (PSF).
Pypi acreditó a Caleb Brown del equipo de seguridad de código abierto de Google y Tim Hatch de Netflix para informar el problema. También dijo que advertirá a los usuarios cuando publiquen ruedas cuyo contenido zip no coincida con el archivo de metadatos de registro incluido.
«Después de 6 meses de advertencias, el 1 de febrero de 2026, PYPI comenzará a rechazar las ruedas recién cargadas cuyos contenidos postales no coinciden con el archivo de metadatos registrados incluidos», dijo Larsen.