Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
▼
enero
(Total:
45
)
- Operación policial internacional desmantela el gru...
- Twitter España despide al 80% de su plantilla: se ...
- Un instituto de Massachusetts lleva año y medio co...
- El FBI confirma que el grupo Lazarus de Corea del ...
- WhatsApp multada con 5,5 millones de euros por vio...
- Microsoft Authenticator: ¿Qué es y cómo funciona?
- Anuncios con malware en resultados de búsqueda de ...
- Herramientas para el análisis de malware en Android
- PayPal reconoce una brecha que ha afectado a 35.00...
- Android TV Box comprado en Amazon venía precargado...
- Google prepara un chatbot de búsqueda para competi...
- Samsung Display muestra un nuevo prototipo de pant...
- Paquetes maliciosos PyPi ‘Lolip0p’ instalan malwar...
- ¿Qué potencia de fuente de alimentación necesito s...
- La IA generativa recibe su primera demanda por inf...
- Musk se enfrenta al juicio por fraude bursátil por...
- Si trabajas con pantallas y usas gafas o lentillas...
- Organismo de control Estados Unidos consiguió crac...
- Se cumplen diez años de la muerte por inducción al...
- Un error informático paraliza los vuelos comercial...
- Disponible Paint.NET 5.0
- Bielorrusia legaliza la piratería de películas, mú...
- Microsoft quiere invertir 9.300 millones en OpenAI...
- Microsoft presenta VALL-E, una IA capaz de imitar ...
- 'Supercookies' imbloqueables: Telefónica, Vodafone...
- Valetudo es un firmware para evitar que robo aspir...
- El chat de salud de Google resuelve dudas de pacie...
- Wikipedia sufre un nuevo ataque de censura por par...
- Múltiples vulnerabilidades en grandes y conocidas ...
- Silk Road, el primer mercado de la Dark Web
- PiKVM V4: proyecto basado en una Raspberry Pi 4, s...
- Windows Sandbox - "Espacio Aislado"
- Sistemas operativos alternativos a Android e iOS
- El diario The Guardian sigue teletrabajando un mes...
- Facebook e Instagram multadas con 390 millones eur...
- Detenidos cerca de Barcelona estafadores bancarios...
- Evadiendo protecciones de un antivirus
- Un dispositivo militar con datos biométricos de mi...
- Microsoft quiere integrar ChatGPT en buscador Bing
- Acelerar el arranque de inicio de Windows
- Vulnerabilidad en los altavoces de Google Home per...
- One Laptop per Child (OLPC)
- Grupo de ransomware LockBit pide disculpas por ata...
- Descargar una copia de todos los correos y adjunto...
- Google pagará 9,5 millones por rastrear la ubicaci...
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Paquetes maliciosos PyPi ‘Lolip0p’ instalan malware para robar información
Un actor de amenazas ha subido al repositorio PyPI (Python Package Index) tres paquetes maliciosos que llevan código para colocar malware que roba información en los sistemas de los desarrolladores. Todos los paquetes maliciosos, descubiertos por Fortinet , fueron subidos por el mismo autor llamado ‘Lolip0p’ entre el 7 y el 12 de enero de 2023. Sus nombres son ‘colorslib’, ‘httpslib’ y ‘libhttps’. Los tres han sido reportados y eliminados del PyPI.
PyPI es el repositorio más utilizado para los paquetes de Python que los desarrolladores de software utilizan para obtener los componentes básicos de sus proyectos.
Desafortunadamente, su popularidad lo convierte en un atractivo para los actores de amenazas que apuntan a los desarrolladores o sus proyectos. Por lo general, los paquetes maliciosos se cargan disfrazados de algo útil o imitan proyectos de renombre modificando su nombre .
PyPI no tiene los recursos para analizar todas las cargas de paquetes, por lo que depende de los informes de los usuarios para encontrar y eliminar archivos maliciosos. Sin embargo, cuando se eliminan, los paquetes defectuosos suelen contar con varios cientos de descargas.
Nueva campaña
A diferencia de las cargas maliciosas típicas en PyPI, el trío que descubrió Fortinet presenta descripciones completas, lo que ayuda a engañar a los desarrolladores para que crean que son recursos genuinos.
En este caso, los nombres de los paquetes no mimetizan otros proyectos sino que buscan convencer de que vienen con código confiable y libre de riesgos.
Según el servicio de recuento de estadísticas de paquetes PyPI ‘pepy.tech’, las tres entradas maliciosas tenían los siguientes recuentos de descargas cuando se eliminaron el domingo 14 de enero.
- Colorslib – 248 descargas
- httpslib – 233 descargas
- libhttps – 68 descargas
Aunque la cantidad de descargas puede parecer pequeña, el impacto potencial de estas infecciones como parte de una cadena de suministro las hace significativas.
Los tres paquetes cuentan con el mismo archivo malicioso ‘setup.py’ que intenta ejecutar PowerShell que obtiene un ejecutable de una URL sospechosa, llamada ‘Oxyz.exe’. Esta pieza de malware roba información del navegador.
- Oxyz.exe también se propaga como un generador gratuito de Discord Nitro.
Ese segundo archivo está marcado por algunos proveedores en VirusTotal como malicioso. Fortinet dice que ‘update.exe’ suelta varios archivos adicionales en el host, uno de los cuales (‘SearchProtocolHost.exe’), que algunos proveedores de antivirus marcan como malicioso como un ladrón de información.
Mirando un poco más allá, se descubrió que al menos uno de los procesos descartados se usa para recopilar tokens de Discord, lo que sugiere que es parte de una campaña general de malware para robar información que se usa para robar datos del navegador, tokens de autenticación y otros datos de un dispositivo infectado. .
Las tasas de detección de los tres ejecutables utilizados en este ataque son bastante bajas, oscilando entre el 4,5 % y el 13,5 %, lo que permite que los archivos maliciosos eludan la detección de varios agentes de seguridad que pueden estar ejecutándose en el host de la víctima.
Desafortunadamente, incluso después de eliminar esos paquetes de PyPI, los actores de amenazas aún pueden volver a cargarlos más adelante con un nombre diferente.
Para garantizar la seguridad de sus proyectos, los desarrolladores de software deben prestar atención al seleccionar paquetes para descargar. Esto incluye verificar a los autores del paquete y revisar el código para cualquier intención sospechosa o maliciosa.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.