Los actores detrás del ataque a la cadena de suministro de PyPI han estado activos desde finales de 2021

on

|

views

and

comments


Los actores detrás del ataque a la cadena de suministro de PyPI han estado activos desde finales de 2021

El repositorio de software program oficial para el lenguaje Python, Índice de paquetes de Python (PyPI)ha sido objeto de un complejo ataque a la cadena de suministro que parece haber envenenado con éxito al menos dos proyectos legítimos con malware de robo de credenciales, dijeron investigadores el jueves.

Funcionarios PyPI dijo la semana pasada que los colaboradores del proyecto estaban bajo un ataque de phishing que intentaba engañarlos para que divulgaran las credenciales de inicio de sesión de su cuenta. Cuando tenían éxito, los phishers usaban las credenciales comprometidas para publicar malware que se hacía pasar por la última versión de proyectos legítimos asociados con la cuenta. PyPI eliminó rápidamente las actualizaciones comprometidas e instó a todos los contribuyentes a usar formas de autenticación de dos factores resistentes al phishing para proteger mejor sus cuentas.

El jueves, investigadores de las firmas de seguridad SentinelOne y Checkmarx dijeron que los ataques a la cadena de suministro eran parte de una campaña más amplia de un grupo que ha estado activo desde al menos finales del año pasado para difundir malware de robo de credenciales que los investigadores denominan JuiceStealer. Inicialmente, JuiceStealer se propagó a través de una técnica conocida como typosquatting, en la que los actores de amenazas sembraron PyPI con cientos de paquetes que se parecían mucho a los nombres de los bien establecidos, con la esperanza de que algunos usuarios los instalaran accidentalmente.

JuiceStealer se descubrió en VirusTotal en febrero cuando alguien, posiblemente el autor de la amenaza, envió una aplicación de Python que instaló el malware de forma subrepticia. JuiceStealer se desarrolla utilizando el marco de programación .Internet. Busca contraseñas almacenadas por Google Chrome. Según la información obtenida del código, los investigadores vincularon el malware con la actividad que comenzó a fines de 2021 y ha evolucionado desde entonces. Una posible conexión es Nowblox, un sitio internet fraudulento que pretendía ofrecer Robux free of charge, la moneda en línea para el juego. Roblox.

Con el tiempo, el actor de amenazas, al que los investigadores llaman JuiceLedger, comenzó a usar aplicaciones fraudulentas con temas criptográficos, como el bot Tesla Buying and selling, que se entregó en archivos zip que acompañaban a software program legítimo adicional.

“JuiceLedger parece haber evolucionado muy rápidamente de infecciones oportunistas a pequeña escala hace solo unos meses a realizar un ataque a la cadena de suministro en un importante distribuidor de software program”, escribieron los investigadores en un artículo. correo. “La escalada en la complejidad del ataque a los contribuyentes de PyPI, que involucra una campaña de phishing dirigida, cientos de paquetes con errores tipográficos y tomas de management de cuentas de desarrolladores confiables, indica que el actor de amenazas tiene tiempo y recursos a su disposición”.

PyPI ha comenzado a ofrecer a los contribuyentes claves gratuitas basadas en {hardware} para que las utilicen en la provisión de un segundo issue de autenticación no phishing. Todos los contribuyentes deben cambiar a esta forma más sólida de 2FA de inmediato. Las personas que descargan paquetes de PyPI, o cualquier otro repositorio de código abierto, deben tener especial cuidado para asegurarse de que el software program que descargan sea legítimo.



Share this
Tags

Debe leer

Byju’s borra las cuotas pendientes de Blackstone en la adquisición de Aakash por 1.000 millones de dólares

Edtech decacorn Byju's pagó el tramo closing de Rs 1983 millones de rupias a la firma de capital privado Blackstone por la adquisición...

La Junta de la U de California puede limitar el poder de los líderes del campus

Scott Jaschik, Editores uno de los tres fundadores de Dentro de la educación superior. Con Doug Lederman, dirige las operaciones editoriales de dentro...

Más como esto

LEAVE A REPLY

Please enter your comment!
Please enter your name here