Los investigadores de seguridad han descubierto otro paquete PyPI malicioso (se abre en una nueva pestaña), cuyo propósito es robar datos confidenciales de las personas y permitir que los usuarios no autenticados accedan al dispositivo comprometido.
El paquete, llamado "colorfool", era obviamente malicioso, dijeron. Contenía un archivo de Python de "tamaño sospechoso" cuya única tarea era descargar otro archivo de Internet y ejecutarlo, mientras se aseguraba de que permaneciera oculto para el usuario del dispositivo.
"La función, por lo tanto, inmediatamente pareció sospechosa y probablemente maliciosa", dijo el informe.
Código "Tomar prestado"
Para empeorar las cosas, eso ni siquiera era lo único sospechoso en este caso. La URL desde la que el paquete debe descargar la carga útil estaba codificada, lo cual es otra señal de alerta.
El script de Python, code.py, tenía funciones de robo de información, como el registro de teclas y la exfiltración de cookies. Además, era capaz de robar contraseñas, matar aplicaciones, tomar capturas de pantalla, robar datos de billeteras criptográficas e incluso usar la cámara web del dispositivo.
Lo que diferencia a este paquete de todos los demás paquetes PyPI maliciosos que los investigadores de seguridad descubren casi a diario es su naturaleza similar a la de Frankenstein. El código se ensambló a partir de partes del trabajo de otras personas, a veces sin tener en cuenta la lógica, el flujo de código o cualquier otra cosa, sugieren los investigadores. Como si el autor simplemente estuviera copiando y pegando partes del código, dejando a menudo el exceso de código allí.
"La combinación de ofuscación y código malicioso atroz indica que es poco probable que todo el código haya sido desarrollado por una sola entidad", dijeron los investigadores. "Es posible que el desarrollador final haya utilizado principalmente el código de otras personas, agregándolo copiando y pegando".
De hecho, el código incluye incluso el juego "Snake", que no parece tener ningún propósito en particular.
Para los investigadores, este es un ejemplo perfecto de la "democratización del delito cibernético", donde los actores de amenazas pueden simplemente tomar el código de otros actores de amenazas e incorporarlo a su trabajo.
ผ่าน: The Registry (เปิดในแท็บใหม่)