Detección de Malware en PyPi: Robo de Tokens de Discord Para Propagar Malware
Tabla de contenidos:
A principios de este mes, investigadores de seguridad identificaron un malware en PyPi que exfiltraba las credenciales de los usuarios, las cookies de las aplicaciones y el historial, junto con otros datos sensibles. Los datos de la investigación indican que los adversarios suben paquetes maliciosos a The Python Package Index (PyPI), un vasto repositorio de paquetes de Python de código abierto. El objetivo es engañar a los usuarios para que los descarguen ofreciendo funcionalidades falsas y herramientas de Roblox. En realidad, el malware intenta robar datos almacenados. Cuando se ejecuta, apunta a navegadores como Google Chrome, Firefox y Opera; además, compromete Discord, inyectando un agente malicioso persistente en los procesos de la aplicación.
Detectar Malware en PyPi
Para ayudar a las organizaciones a proteger mejor su infraestructura, nuestro atento desarrollador de Threat Bounty Aytek Aytemur ha lanzado recientemente la regla Sigma dedicada que permite una detección sin esfuerzo del malware en PyPi. Los equipos de seguridad pueden descargar esta y otras reglas relevantes desde la plataforma Detection as Code de SOC Prime:
Nuevo Malware en PyPi (a través de process_creation)
La regla está alineada con el marco MITRE ATT&CK® v.10, abordando las tácticas de Evasión de Defensa y Ejecución con Suplantación de Identidad (T1036) y Tarea/Trabajo Programado (T1053) como las técnicas principales.
Presiona el Ver en la Plataforma SOC Prime botón para acceder a una vasta biblioteca de contenido de detección de amenazas cibernéticas. Todas las reglas están mapeadas al marco MITRE ATT&CK, minuciosamente curadas y verificadas. Los profesionales de SOC que buscan examinar los datos de seguridad de su organización con mayor eficiencia son bienvenidos a aprovechar los beneficios del primer motor de búsqueda de la industria para Caza de Amenazas, Detección de Amenazas e Inteligencia de Amenazas Cibernéticas. Para probar la herramienta, presiona el botón Profundizar en el Motor de Búsqueda .
Ver en la Plataforma SOC Prime Profundizar en el Motor de Búsqueda
Análisis de Malware en PyPi
PyPi es altamente popular tanto entre grandes como pequeñas organizaciones como repositorio de código abierto. Los actores de amenazas aprovechan la popularidad de la plataforma entre millones de usuarios para distribuir paquetes maliciosos que imitan ofertas legítimas que benefician a proyectos basados en Python.
En la actual oleada de ataques que utilizan el repositorio como su punto de lanzamiento, los adversarios emplean diferentes enfoques para plantar su malware. En el caso de la distribución del paquete malicioso dirigido a hosts de Windows, el malware activado se utiliza para robar datos disponibles y secuestrar recursos de Discord para descargar más ejecutables. Los nombres de los paquetes armados son los siguientes: Free-net-vpn y Free-net-vpn2, Test-async, Ascii2text, Pyg-utils, Pymocks, PyProto2, Zlibsrc, WINRPCexploit, y Browserdiv. Los investigadores advierten que, aunque fueron eliminados del repositorio, muchos usuarios aún podrían estar almacenando los paquetes dentro de sus sistemas.
Recientemente han estado acumulándose más informes de adversarios que utilizan PyPI para distribuir amenazas elaboradas. La plantación ilícita de cripto mineros, como una manera comprobada de infectar los sistemas de las víctimas, está en aumento actualmente.
SOC Prime ofrece soluciones indispensables para ayudar a las empresas a mantener la protección de sistemas difíciles de violar. ¿Estás ansioso por unirte a líderes de la industria y compartir tus reglas Sigma y YARA para hacer el mundo más seguro? ¡Únete a nuestro Programa de Recompensa de Amenazas para obtener recompensas recurrentes por tu valiosa contribución!
