ClickCease Desvelando los paquetes Python del malware BlazeStealer en PyPI

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Desvelando los paquetes Python del malware BlazeStealer en PyPI

Wajahat Raja

22 de noviembre de 2023 - Equipo de expertos TuxCare

En una reciente revelación, un grupo de paquetes Python maliciosos se ha infiltrado en el Python Package Index (PyPI), lo que supone una importante amenaza para los sistemas de los desarrolladores, ya que su objetivo es robar información confidencial. Estos paquetes engañosos, que inicialmente aparecen como herramientas de ofuscación inocuas, ocultan un potente malware llamado BlazeStealer. En esta entrada de blog, cubriremos los detalles de Paquetes Python del malware BlazeStealer en PyPI, así como proporcionar todas las actualizaciones relacionadas con el problema de ciberseguridad.

 

La Operación Encubierta: BlazeStealer Malware Python Paquetes

 

El investigador de seguridad Yehuda Gelb arroja luz sobre descubrimiento del malware BlazeStealerque recupera un script malicioso adicional de una fuente externa. Este script potencia un bot de Discord, proporcionando a los atacantes un control total sobre el ordenador de la víctima. La campaña, iniciada en enero de 2023consta de ocho paquetes: Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse y pyobfgood, este último publicado en octubre.


Noticias de Ciberseguridad Tácticas de instalación de BlazeStealer

 

Estos módulos maliciosos incluyen archivos setup.py e init.py que están diseñados para recuperar un script Python ubicado en transfer[.]sh. Una vez instalado, este script se ejecuta inmediatamente, lanzando BlazeStealer en el PC de la víctima. Las capacidades del malware Python en PyPI incluyen ejecutar un bot de Discord, permitir el robo de datos confidenciales, ejecutar comandos arbitrarios, cifrar archivos e incluso desactivar el antivirus Microsoft Defender en el host comprometido.

 

Arsenal destructivo de BlazeStealer


El sitio
amenaza de ciberseguridad BlazeStealer va más allá del robo de datos, ya que inutiliza el ordenador aumentando el uso de la CPU, insertando un script de Windows Batch en el directorio de inicio para forzar un apagado y, en casos extremos, induciendo un error de pantalla azul de la muerte (BSOD). El sitio brecha de seguridad de PyPI subraya la urgencia de que los desarrolladores se mantengan vigilantes y proactivos en sus medidas de seguridad.


Los promotores son el principal objetivo


Gelb subraya que los desarrolladores que se dedican a la ofuscación de código probablemente manejan información valiosa y sensible. En consecuencia, los piratas informáticos los consideran objetivos lucrativos. Los malintencionados se aprovechan de la confianza que los desarrolladores depositan en los paquetes de código abierto, por lo que es imperativo que la comunidad de programadores actúe con cautela e investigue a fondo los paquetes antes de integrarlos.


Impacto geográfico y magnitud

 

Según el análisis del malware BlazeStealerun número significativo de descargas asociadas a estos paquetes maliciosos procedían de Estados Unidos, seguidos de China, Rusia, Irlanda, Hong Kong, Croacia, Francia y España. Sorprendentemente, estos paquetes acumularon un total de 2.438 descargas antes de su eliminación de PyPI. Esta diversidad geográfica en las descargas pone de manifiesto el alcance global y el impacto de estas ciberamenazas.


Cuento con moraleja para el desarrollo de código abierto

 

La infiltración de BlazeStealer en PyPI se alinea con una tendencia más amplia observada por la empresa de seguridad de la cadena de suministro de software Phylum. Recientemente descubrieron una colección de módulos npm de temática criptográfica con capacidad para distribuir discretamente malware de última generación. El informe Evolution of Software Supply Chain Security Report for Q3 2023 de Phylum revela estadísticas alarmantes, con 13.708 paquetes en varios ecosistemas que ejecutan código sospechoso durante la instalación.


Vigilancia en el ámbito del código abierto

 

El informe sobre detección de malware en PyPI expone además que 1.481 paquetes descargaron y ejecutaron subrepticiamente código de fuentes remotas. Además, 10.201 paquetes hacían referencia a URL maliciosas conocidas y se identificaron 2.598 paquetes typosquat. Esto subraya la importancia de mantener la vigilancia y aplicar medidas de seguridad sólidas cuando se trabaja con repositorios de código abierto.


Conclusión


A medida que el dominio del código abierto sigue siendo un caldo de cultivo para la innovación, se convierte al mismo tiempo en un campo de juego potencial para los actores de amenazas. El incidente de BlazeStealer sirve de duro recordatorio a los desarrolladores para
protegerse contra el malware de paquetes PythonEl incidente de BlazeStealer sirve de recordatorio a los desarrolladores para protegerse contra el malware de paquetes Python, actuando con cautela, investigando a fondo los paquetes y manteniéndose actualizados sobre las nuevas amenazas a la seguridad. Adoptando un enfoque enfoque proactivo de la ciberseguridadla comunidad de desarrolladores puede contribuir colectivamente a un entorno de software más seguro y resistente.

En conclusión, la seguridad de los paquetes Python requiere una combinación de concienciación, diligencia y medidas de seguridad proactivas. El incidente del malware BlazeStealer subraya la necesidad de una vigilancia y colaboración continuas dentro de la comunidad de desarrolladores para mitigar las amenazas cambiantes presentes en el ecosistema de código abierto.

Las fuentes de este artículo incluyen artículos en The Hacker News y Semana de la Seguridad.

Resumen
Desvelando los paquetes Python del malware BlazeStealer en PyPI
Nombre del artículo
Desvelando los paquetes Python del malware BlazeStealer en PyPI
Descripción
Manténgase informado sobre los paquetes Python del malware BlazeStealer en PyPI. Descubra hoy mismo la amenaza, su impacto y las medidas de seguridad cruciales.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín