Ciberseguridad 360 | Investigación revela biblioteca Python que utiliza Telegram para filtrar datos

Los administradores del repositorio Python Package Index (PyPI) han puesto en cuarentena el paquete �aiocpa� tras una nueva actualizaci�n que inclu�a c�digo malicioso para exfiltrar claves privadas a trav�s de Telegram.

El paquete en cuesti�n se describe como un cliente s�ncrono y as�ncrono de la API Crypto Pay. El paquete, publicado originalmente en septiembre de 2024, ha sido descargado 12.100 veces hasta la fecha.

Al poner la biblioteca Python en cuarentena, se impide que los clientes sigan instal�ndola y sus mantenedores no pueden modificarla.

La empresa de ciberseguridad Phylum, que comparti� los detalles del ataque a la cadena de suministro de software la semana pasada, dijo que el autor del paquete public� la actualizaci�n maliciosa en PyPI, mientras manten�a limpio el repositorio GitHub de la biblioteca en un intento de evadir la detecci�n.

Actualmente no est� claro si el desarrollador original estaba detr�s de la actualizaci�n maliciosa o si sus credenciales fueron comprometidas por un actor de amenaza diferente.

Los primeros indicios de actividad maliciosa se detectaron en la versi�n 0.1.13 de la biblioteca, que inclu�a un cambio en el script de Python �sync.py� dise�ado para descifrar y ejecutar un fragmento de c�digo ofuscado inmediatamente despu�s de instalar el paquete.

�Este blob en particular est� codificado recursivamente y comprimido 50 veces�, dijo Phylum, agregando que se usa para capturar y transmitir el token de la API de Crypto Pay de la v�ctima usando un bot de Telegram.

Vale la pena se�alar que Crypto Pay se anuncia como un sistema de pago basado en Crypto Bot (@CryptoBot) que permite a los usuarios aceptar pagos en cripto y transferir monedas a usuarios que utilizan la API.

El incidente es significativo, entre otras cosas porque pone de relieve la importancia de escanear el c�digo fuente de los paquetes antes de descargarlos, en lugar de limitarse a comprobar sus repositorios asociados.

�Como se evidencia aqu�, los atacantes pueden mantener deliberadamente repositorios de c�digo fuente limpios mientras distribuyen paquetes maliciosos a los ecosistemas�, dijo la compa��a, agregando que el ataque �sirve como un recordatorio de que el historial de seguridad anterior de un paquete no garantiza su seguridad continua.�

Fuente: thehackernews