Los investigadores de ciberseguridad han descubierto dos paquetes maliciosos en el repositorio Python Package Index (PyPI) que se hacen pasar por correctores ortográficos pero contienen funciones para entregar un troyano de acceso remoto (RAT).

Los paquetes, denominados corrector ortográfico py y corrector ortográfico py , ya no están disponibles para su descarga, pero no antes de que se descargaran colectivamente un poco más de 1000 veces.

«Dentro del archivo del diccionario de euskera había una carga útil codificada en base64 que descarga una RAT de Python con todas las funciones», dijo el investigador de Aikido Charlie Eriksen dijo . «El atacante publicó primero tres versiones «inactivas», con la carga útil presente y el disparador ausente, y luego activó el interruptor con la versión 1.2.0 del corrector ortográfico y añadió un activador de ejecución ofuscado que se activa en el momento en que se importaba SpellChecker».

A diferencia de otros paquetes que ocultan la funcionalidad maliciosa de los scripts "__init__.py «, se ha descubierto que el autor de la amenaza detrás de la campaña añade la carga útil a un archivo llamado «resources/eu.json.gz» que contiene las frecuencias de palabras en euskera del paquete pyspellchecker legítimo.

Si bien la función parece sencilla e inofensiva, el comportamiento malicioso se desencadena cuando el archivo comprimido se extrae mediante la función test_file () con los parámetros: test_file («eu», «utf-8", «corrector ortográfico»), lo que hace que recupere un descargador codificado en Base64 oculto en el diccionario con una clave llamada «corrector ortográfico».

Curiosamente, las tres primeras versiones del paquete solo recuperaban y decodificaban la carga útil, pero nunca la ejecutaban. Sin embargo, eso cambió con el lanzamiento de la versión 1.2.0 de spellcheckpy, publicada el 21 de enero de 2026, cuando también pudo ejecutar la carga útil.

La primera etapa es un descargador diseñado para recuperar una RAT basada en Python de un dominio externo («updatenet [.] work»). Es capaz de tomar las huellas digitales del host comprometido, analizar los comandos entrantes y ejecutarlos. El dominio, registrado a finales de octubre de 2025, está asociado a 172.86.73 [.] 139, una dirección IP gestionada por RouterHosting LLC (también conocido como Cloudzy), un proveedor de alojamiento que tiene un historia de ofrecer sus servicios a grupos de estados-nación.

Esta no es la primera vez que se detectan herramientas falsas de corrección ortográfica de Python en PyPI. En noviembre de 2025, HelixGuard dijo descubrió un paquete malicioso llamado «correctores ortográficos» que permitía recuperar y ejecutar una carga RAT. Se sospecha que estos dos grupos de ataques son obra del mismo actor de amenazas.

El desarrollo coincide con el descubrimiento de varios paquetes npm maliciosos para facilitar el robo de datos y atacar carteras de criptomonedas -

  • flockiali (1.2.3-1.2.6), opresc (1.0.0), prndn (1.0.0), oprnm (1.0.0) y operni, que contiene un único archivo JavaScript que, cuando se carga, muestra una pantalla de inicio de sesión falsa de la marca Microsoft como parte de un campaña de spear-phising dirigida atacar a empleados de empresas industriales y energéticas específicas ubicadas en Francia, Alemania, España, los Emiratos Árabes Unidos y los EE. UU. con enlaces maliciosos
  • ansi-universal-ui (1.3.5, 1.3.6, 1.3.7, 1.4.0, 1.4.1), que se hace pasar por una biblioteca de componentes de interfaz de usuario pero implementa un ladrón basado en Python denominado G_Wagon que filtra las credenciales del navegador web, las carteras de criptomonedas, las credenciales en la nube y los tokens de Discord a un depósito de almacenamiento de Appwrite

La revelación también se produce cuando Aikido destacó la amenaza asociada con en cuclillas en pendiente , en el que agentes impulsados por inteligencia artificial (IA) pueden hacer alucinaciones con paquetes inexistentes que, a su vez, un actor de amenazas podría reclamar para enviar código malicioso a los usuarios intermedios.

En un caso destacado por la empresa de seguridad de la cadena de suministro, se descubrió que 237 repositorios de GitHub hacen referencia a un paquete npm ficticio llamado «react-codeshift» desde que se componía de un gran modelo lingüístico a mediados de octubre de 2025, y algunos de ellos incluso dan instrucciones a los agentes de IA para que lo instalen.

«¿Cómo se extendió a 237 repositorios? Archivos de habilidades de agente. Copiado y pegado, bifurcado, traducido al japonés, nunca verificado ni una sola vez», Eriksen dijo . «Las habilidades son el nuevo código. No lo parecen. Son Markdown y YAML e instrucciones sencillas. Pero son ejecutables. Los agentes de IA los siguen sin preguntar: «¿Existe realmente este paquete?»

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.