Los investigadores de seguridad cibernética han descubierto un paquete malicioso en el repositorio del índice de paquetes de Python (PYPI) que es capaz de cosechar información confidencial relacionada con el desarrollador, como credenciales, datos de configuración y variables de entorno, entre otros.
El paquete, llamado Chimera-Sandbox-Extensions, atrajo a 143 descargas y probablemente apunta a los usuarios de un servicio llamado Chimera Sandbox, que fue lanzado por la compañía de tecnología singapurense Grab en agosto pasado para facilitar la «experimentación y desarrollo de soluciones (aprendizaje automático)».
El paquete se disfraza de un módulo auxiliar para Chimera Sandbox, pero «tiene como objetivo robar credenciales y otra información confidencial, como la configuración JAMF, las variables de entorno CI/CD, los tokens AWS y más», dijo el investigador de seguridad de JFrog, Guy Korolevski, en un informe publicado la semana pasada.
Una vez instalado, intenta conectarse a un dominio externo cuyo nombre de dominio se genera utilizando un algoritmo de generación de dominio (DGA) para descargar y ejecutar una carga útil de la próxima etapa.
Específicamente, el malware adquiere del dominio un token de autenticación, que luego se utiliza para enviar una solicitud al mismo dominio y recuperar el robador de información basado en Python.
El malware del robador está equipado para desviar una amplia gama de datos de máquinas infectadas. Esto incluye –
- Recibos JAMF, que son registros de paquetes de software instalados por JAMF Pro en computadoras administradas
- POD Sandbox Entorno de entorno Tokens e información de GIT
- Información de CI/CD de variables de entorno
- Configuración del host de ZScaler
- Información y tokens de la cuenta de Amazon Web Services
- Dirección IP pública
- Información general de plataforma, usuario y host
El tipo de datos recopilados por el malware muestra que está orientado principalmente a la infraestructura corporativa y en la nube. Además, la extracción de los recibos de JAMF indica que también es capaz de dirigirse a los sistemas Apple MacOS.
La información recopilada se envía a través de una solicitud posterior al mismo dominio, después de lo cual el servidor evalúa si la máquina es un objetivo digno para una mayor explotación. Sin embargo, JFrog dijo que no pudo obtener la carga útil al momento del análisis.
«El enfoque objetivo empleado por este malware, junto con la complejidad de su carga útil específica de varias etapas, lo distingue de las amenazas de malware de código abierto más genéricos que hemos encontrado hasta ahora, destacando los avances que los paquetes maliciosos han realizado recientemente», dijo Jonathan Sar Shalom, director de investigación de amenazas en el equipo de investigación de seguridad JFROG.
«Esta nueva sofisticación de malware subraya por qué los equipos de desarrollo permanecen atentos a las actualizaciones, una investigación de seguridad proactiva de altura, para defenderse de las amenazas emergentes y mantener la integridad del software».
La divulgación se produce cuando Safedep y Veracode detallan una serie de paquetes NPM con malware diseñados para ejecutar código remoto y descargar cargas útiles adicionales. Los paquetes en cuestión se enumeran a continuación –
- Eslint-Config-Airbnb-Compat (676 descargas)
- TS-Runtime-Compat-Check (1,588 descargas)
- soldaduras (983 descargas)
- @Mediawave/lib (386 descargas)
Todos los paquetes de NPM identificados se han retirado de NPM, pero no antes de que se descargaran cientos de veces del registro del paquete.
El análisis de Safedep de la compat de Eslint-Config-Airbnb descubrió que la biblioteca JavaScript tiene la compatibilidad con runtime TS-RUNTIME listada como una dependencia, que, a su vez, contacta con un servidor externo definido en el paquete anterior («proxy.eslint-proxy (.) Sitio») para recuperar y ejecutar una cadena externa en la base de 64. Se desconoce la naturaleza exacta de la carga útil.
«Implementa un ataque de ejecución de código remoto de varias etapas utilizando una dependencia transitiva para ocultar el código malicioso», dijo el investigador de Safedep Kunal Singh.
Se ha encontrado que las soldaduras, por otro lado, incorporan un script posterior a la instalación en su paquete. Json, lo que hace que el código malicioso se ejecute automáticamente tan pronto como se instale el paquete.
«A primera vista, es difícil creer que esto sea realmente válido JavaScript», dijo el equipo de investigación de amenazas de Veracode. «Parece una colección aparentemente aleatoria de símbolos japoneses. Resulta que este esquema de ofuscación particular usa los caracteres Unicode como nombres variables y una cadena sofisticada de generación de código dinámico para funcionar».
La decodificación del script revela una capa adicional de ofuscación, desempaquetando que revela su función principal: verifique si la máquina comprometida es Windows y, de ser así, ejecute un comando PowerShell para recuperar una carga útil de la próxima etapa de un servidor remoto («Firewall (.) Tel»).
Este script PowerShell de la segunda etapa, también oscurecido, está diseñado para obtener un script por lotes de Windows de otro dominio («CDN.Audiowave (.) Org») y configura una lista de exclusión antivirus de defensa de Windows para evitar la detección. El script por lotes luego allana el camino para la ejecución de una DLL .NET que se extiende a una imagen PNG alojada en IMGBB («i.ibb (.) Co»).
«(El DLL) está agarrando los dos últimos píxeles de esta imagen y luego recorriendo algunos datos contenidos en otra parte de ella», dijo Veracode. «En última instancia se acumula en la memoria, otra DLL .NET».
Además, la DLL está equipada para crear entradas y presenta la capacidad de evitar el control de la cuenta de usuario (UAC) utilizando una combinación de fodhelper.exe e identificadores programáticos (progids) para evadir las defensas y evitar activar cualquier alerta de seguridad al usuario.
La DLL recién descendida es Pulsar Rat, una «herramienta de administración remota gratuita y de código abierto para Windows» y una variante de la rata Quasar.
«Desde una pared de caracteres japoneses hasta una rata oculta dentro de los píxeles de un archivo PNG, el atacante hizo todo lo posible para ocultar su carga útil, anidándola una docena de capas de profundidad para evadir la detección», dijo Veracode. «Si bien el objetivo final del atacante para desplegar la rata Pulsar sigue sin estar clara, la pura complejidad de este mecanismo de entrega es un poderoso indicador de intención maliciosa».
Malware criptográfico en la cadena de suministro de código abierto
Los hallazgos también coinciden con un informe de Socket que identificó a los robadores de credenciales, drenadores de criptomonedas, criptojackers y cortadores como los principales tipos de amenazas dirigidas al ecosistema de desarrollo de criptomonedas y blockchain.
Algunos de los ejemplos de estos paquetes incluyen –
- Express-Dompurify y PumpptoolforvolumeandComment, que son capaces de cosechar credenciales del navegador y claves de billetera de criptomonedas
- BS58JS, que drena la billetera de una víctima y utiliza transferencias de múltiples saltos para oscurecer el robo y frustrar el rastreo forense.
- LSJGLSJDV, Asyncaiosignal y Raydium-SDK-Liquident-Init, que funciona como un clipper para monitorear el portapapeles del sistema para las cadenas de billetera de criptomonedas y reemplazarlas con direcciones de amenazas controladas por actores para redirigir las transacciones a los atacantes a los atacantes a los atacantes
«A medida que el desarrollo de Web3 converge con la ingeniería de software convencional, la superficie de ataque para proyectos centrados en blockchain se está expandiendo tanto en escala como en complejidad», dijo el investigador de seguridad Kirill Boychenko.
«Los actores de amenaza y grupos patrocinados por el estado de motivación financiera están evolucionando rápidamente sus tácticas para explotar las debilidades sistémicas en la cadena de suministro de software. Estas campañas son iterativas, persistentes y cada vez más adaptadas a objetivos de alto valor».
Ai y slopsquatting
El surgimiento de la codificación asistida por inteligencia artificial (AI), también llamada codificación de vibra, ha desatado otra amenaza novedosa en forma de descuidado, donde los modelos de lenguaje grande (LLM) pueden alucinar los nombres de paquetes inexistentes pero plausibles que los malos actores pueden armar para realizar ataques de la cadena de suministro.
Trend Micro, en un informe la semana pasada, dijo que observó un agente avanzado no identificado «con confianza» cocinando un paquete Phantom Python llamado Starlette-Reverse-Proxy, solo para que el proceso de compilación se bloquee con el error «no encontrado». Sin embargo, si un adversario carga un paquete con el mismo nombre en el repositorio, puede tener serias consecuencias de seguridad.
Además, la compañía de seguridad cibernética señaló que los agentes de codificación avanzados y los flujos de trabajo como Claude Code CLI, OpenAI Codex CLI y el cursor IA con la validación respaldada por el Protocolo del Contexto del Modelo (MCP) pueden ayudar a reducir, pero no aliminar por completo, el riesgo de SlopSquatting.
«Cuando los agentes alucinan las dependencias o instalan paquetes no verificados, crean una oportunidad para los ataques de descuento, en los que los actores maliciosos pre-registran esos mismos nombres alucinados en los registros públicos», dijo el investigador de seguridad Sean Park.
«Si bien los agentes mejorados por el razonamiento pueden reducir la tasa de sugerencias fantasmas en aproximadamente la mitad, no los eliminan por completo. Incluso el flujo de trabajo de codificación de ambientes aumentados con validaciones de MCP en vivo alcanza las tasas más bajas de deslizamiento, pero aún se pierde los casos de borde».