Se ha encontrado un paquete peligroso en el repositorio de PyPI. El paquete malicioso, denominado zlibxjson versión 8.2, fue marcado por el sistema de detección de malware OSS impulsado por IA de Fortinet el 3 de julio de 2024, poco después de su lanzamiento el 29 de junio de 2024. Se observó que el paquete descargaba subrepticiamente varios archivos, incluido un ejecutable empaquetado en PyInstaller (.exe), que, cuando se descomprimió, reveló varios archivos Python y DLL. Entre estos, tres scripts de Python (Discord_token_grabber.py, get_cookies.py y password_grabber.py) fueron particularmente dañinos. Los scripts maliciosos roban tokens de Discord y del navegador Discord_token_grabber.py apuntaba a los usuarios de Discord extrayendo tokens de archivos locales, descifrándolos si era necesario y validándolos a través de la API de Discord. Esto permitía a los atacantes acceder a las cuentas de usuario sin autorización. Además, el script recopilaba una gran cantidad de datos de los usuarios, incluida información de perfil, detalles de facturación y más, y los transmitía a un servidor externo. El sofisticado código también empleaba mecanismos de persistencia para garantizar la continuidad del funcionamiento incluso si los intentos iniciales fallaban. El script get_cookies.py fue diseñado para robar cookies del navegador de navegadores web como Chrome, Firefox, Brave y Opera. Estas cookies a menudo contienen información confidencial de la sesión y credenciales de inicio de sesión. El script descifraba estas cookies utilizando la clave maestra del sistema, eludiendo las medidas de seguridad habituales. Luego guardaba los datos descifrados en un archivo llamado cookies.txt para una posible exfiltración. Este archivo se almacenaba en un directorio de usuarios, una táctica común para evadir la detección y facilitar la transferencia posterior de datos. Lea más sobre la seguridad del navegador: Por qué debemos gestionar el riesgo de las extensiones de navegador de IA El tercer script malicioso, password_grabber.py, se centró en extraer y descifrar contraseñas guardadas de Google Chrome y Microsoft Edge. Accedía a las bases de datos donde estos navegadores almacenan la información de inicio de sesión, descifraba las contraseñas utilizando la clave de cifrado del navegador y compilaba estos datos confidenciales en un formato listo para la exfiltración o el uso indebido. Las rutinas de limpieza del script eliminaron evidencia de la copia de la base de datos, lo que ayudó a evitar la detección. “Los paquetes maliciosos identificados en PyPI están diseñados para robar información confidencial al acceder y descifrar datos almacenados en los navegadores web, como contraseñas y cookies”, advirtió Fortinet. “Es fundamental permanecer alerta y utilizar sistemas de detección como la detección de malware OSS impulsada por IA para identificar y mitigar dichas amenazas, garantizando que se mantenga la privacidad y la seguridad del usuario”. Crédito de la imagen: Marcelo Mollaretti / Shutterstock.com
Leave a Reply