Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el repositorio de Python Package Index (PYPI) que están diseñados para entregar un troyano de acceso remoto llamado Silentsync en los sistemas de Windows.
«Silentsync es capaz de ejecución remota de comandos, exfiltración de archivos y capturación de pantalla», dijeron Manisha Ramcharan Prajapati y Satyam Singh de Zscaler Amenazer. «Silentsync también extrae datos del navegador web, incluidas las credenciales, el historial, los datos de enfoque automático y las cookies de navegadores web como Chrome, Brave, Edge y Firefox».
Los paquetes, que ahora ya no están disponibles para descargar desde Pypi, se enumeran a continuación. Ambos fueron subidos por un usuario llamado «CondetGapis».
- Sisaws (201 descargas)
- Secmeasure (627 descargas)
Zscaler dijo que el paquete Sisaws imita el comportamiento del paquete legítimo de Python SISA, que está asociado con el Sistema Nacional de Información de Salud de Argentina, Sistema Integrado de Información Sanitaria Argentino (SISA).
Sin embargo, el presente en la biblioteca es una función llamada «gen_token ()» en el script de inicialización (__init__.py) que actúa como un descargador para un malware de la próxima etapa. Para lograr esto, envía un token codificado como entrada, y recibe como respuesta una ficha estática secundaria de una manera similar a la API SISA legítima.
«Si un desarrollador importa el paquete Sisaws e invoca la función Gen_Token, el código decodificará una cadena hexadecimal que revela un comando CURL, que luego se usa para obtener un script de Python adicional», dijo Zscaler. «El script de Python recuperado de Pastebin se escribe en el nombre de archivo Helper.py en un directorio temporal y se ejecuta».
SecMeashing, de manera similar, se disfraza de una «biblioteca para limpiar cadenas y aplicar medidas de seguridad», pero alberga la funcionalidad integrada para soltar rata Silentsync.
Silentsync está orientado principalmente a infectar los sistemas de Windows en esta etapa, pero el malware también está equipado con características incorporadas para Linux y macOS también, haciendo modificaciones de registro en Windows, alterando el archivo CRONTAB en Linux para ejecutar la carga útil en el inicio del sistema y registrar un lanzamiento en macOS.
El paquete se basa en la presencia del token secundario para enviar una solicitud HTTP GET a un punto final codificado («200.58.107 (.) 25») para recibir el código de Python que se ejecuta directamente en la memoria. El servidor admite cuatro puntos finales diferentes –
- /checkin, para verificar la conectividad
- /comando, para solicitar comandos para ejecutar
- /Respuesta, para enviar un mensaje de estado
- /Archivo, para enviar la salida del comando o los datos robados
El malware es capaz de cosechar datos del navegador, ejecutar comandos de shell, capturar capturas de pantalla y robar archivos. También puede exfiltrar archivos y directorios completos en forma de archivos zip. Una vez que se transmiten los datos, todos los artefactos se eliminan del host a los esfuerzos de detección de Sidestep.
«El descubrimiento de los paquetes maliciosos de Pypi Sisaws y Secmeasure destacan el creciente riesgo de ataques de la cadena de suministro dentro de los repositorios de software público», dijo Zscaler. «Al aprovechar los paquetes legítimos de los tiposquats y suplantando, los actores de amenaza pueden obtener acceso a información de identificación personal (PII)».