Los investigadores de ciberseguridad han descubierto dos nuevos paquetes maliciosos en el repositorio Python Package Index (PyPI) diseñados para entregar un troyano de acceso remoto llamado SilentSync en los sistemas Windows.
«SilentSync es capaz de ejecutar comandos de forma remota, filtrar archivos y capturar pantallas», dijeron Manisha Ramcharan Prajapati y Satyam Singh, de Zscaler ThreatLabZ dijo . «SilentSync también extrae los datos del navegador web, incluidas las credenciales, el historial, los datos de autocompletado y las cookies de navegadores web como Chrome, Brave, Edge y Firefox».
Los paquetes, que ahora ya no están disponibles para su descarga desde PyPI, se enumeran a continuación. Ambos fueron subidos por un usuario llamado «CondetgaPis».
- sisaws (201 Descargas)
- secmeasure (627 Descargas)
Zscaler dijo que el paquete sisaws imita el comportamiento del paquete legítimo de Python sisa, que está asociado con el sistema nacional de información de salud de Argentina, el Sistema Integrado de Información Sanitaria Argentino (SISA).
Sin embargo, en la biblioteca hay una función llamada «gen_token ()» en el script de inicialización (__init__.py) que actúa como descargador de un malware de próxima etapa. Para lograrlo, envía un token codificado como entrada y recibe como respuesta un token estático secundario de forma similar a la API legítima de SISA.
«Si un desarrollador importa el paquete sisaws e invoca la función gen_token, el código decodificará una cadena hexadecimal que revela un comando curl, que luego se usa para obtener un script de Python adicional», explica Zscaler. «La secuencia de comandos de Python recuperada de PasteBin se escribe con el nombre de archivo helper.py en un directorio temporal y se ejecuta».
Secmeasure, de manera similar, se hace pasar por una «biblioteca para limpiar cadenas y aplicar medidas de seguridad», pero alberga una funcionalidad integrada para eliminar SilentSync RAT.
SilentSync está orientado principalmente a infectar sistemas Windows en esta etapa, pero el malware también está equipado con funciones integradas para Linux y macOS, como realizar modificaciones en el registro en Windows, alterar el archivo crontab en Linux para ejecutar la carga útil al iniciar el sistema y registrar un LaunchAgent en macOS.
El paquete se basa en la presencia del token secundario para enviar una solicitud HTTP GET a un punto final codificado («200.58.107 [.] 25") para recibir código Python que se ejecuta directamente en la memoria. El servidor admite cuatro puntos finales diferentes:
- /checkin, para verificar la conectividad
- /comando, para solicitar la ejecución de comandos
- /respuesta, para enviar un mensaje de estado
- /archivo, para enviar el resultado de un comando o datos robados
El malware es capaz de recopilar datos del navegador, ejecutar comandos de shell, capturar capturas de pantalla y robar archivos. También puede filtrar archivos y directorios enteros en forma de archivos ZIP. Una vez que se transmiten los datos, todos los artefactos se eliminan del host para evitar los esfuerzos de detección.
«El descubrimiento de los paquetes PyPI maliciosos sisaws y secmeasure pone de relieve el creciente riesgo de ataques a la cadena de suministro en los repositorios de software públicos», afirma Zscaler. «Al aprovechar la usurpación tipográfica y la suplantación de identidad de paquetes legítimos, los actores de amenazas pueden acceder a la información de identificación personal (PII)».