Más de 170 mil usuarios afectados por ataques que utilizan una infraestructura falsa de Python e incluye a la organización GitHub
AS-023-2024
Fecha: 27/Mar/2024
Resumen:
El equipo de investigación de Checkmarx descubrió recientemente una campaña de ataque dirigida a la cadena de suministro de software, con evidencia de explotación exitosa en múltiples víctimas. Estos incluyen la organización Top.gg GitHub (una comunidad de más de 170 mil usuarios) y varios desarrolladores individuales. Los actores de amenazas utilizaron múltiples TTP en este ataque, incluida la apropiación de cuentas mediante cookies de navegador robadas, la contribución de código malicioso con confirmaciones verificadas, la configuración de una réplica de Python personalizada y la publicación de paquetes maliciosos en el registro de PyPi.
La infraestructura del ataque incluía un sitio web que parecía ser un espejo de un paquete Python y estaba registrado bajo el dominio files.pypihosted.org. Los actores de amenazas implementaron una réplica falsa de paquetes de Python, que se utilizó con éxito para implementar una copia envenenada del popular paquete “colorama”.
Esta campaña es un excelente ejemplo de las tácticas sofisticadas empleadas por actores maliciosos para distribuir malware a través de plataformas confiables como PyPI y GitHub.
Paquete maliciosos.
| Nombre del paquete | Versión | Nombre de usuario | Nombre de usuario |
| jzyrljroxlca | 0.3.2 | pypi/xotifol394 | 21-jul-23 |
| wkqubsxekbxn | 0.3.2 | pypi/xotifol394 | 21-jul-23 |
| eoerbisjxqyv | 0.3.2 | pypi/xotifol394 | 21-jul-23 |
| lyfamdorksgb | 0.3.2 | pypi/xotifol394 | 21-jul-23 |
| hnuhfyzumkmo | 0.3.2 | pypi/xotifol394 | 21-jul-23 |
| hbcxuypphrnk | 0.3.2 | pypi/xotifol394 | 20-jul-23 |
| dcrywkqddo | 0.4.3 | pypi/xotifol394 | 20-jul-23 |
| mjpoytwngddh | 0.3.2 | pypi/poyon95014 | 21-jul-23 |
| eeajhjmclakf | 0.3.2 | pypi/tiles77583 | 21-jul-23 |
| yocolor | 0.4.6 | pypi/felpes | 5-mar-24 |
| coloriv | 3.2 | pypi/felpes | 22-nov-22 |
| colores-it | 2.1.3 | pypi/felpes | 17-nov-22 |
| color pilo | 1.0.3 | pypi/felpes | 15-nov-22 |
| tipo-color | 0,4 | felipefelpes | 1-nov-22 |
IOC
- hxxps[:]//files[.]pythanhosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.5.tar.gz
- hxxps[:]//files[.]pypihosted.org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.6.tar.gz
- hxxps://files[.]pypihosted[.]org/packages/d8/53/6f443c9a4a8358a93a6792e2acffb9d9d5cb0a5cfd8802644b7b1c9a02e4/colorama-0.4.3.tar.gz
- 162[.]248.101.215
- pypihosted.org/version
- 162[.]248.100.217
- 162.248.100.117
- 0C1873196DBD88280F4D5CF409B7B53674B3ED85F8A1A28ECE9CAF2F98A71207
- 35AC61C83B85F6DDCF8EC8747F44400399CE3A9986D355834B68630270E669FB
- C53B93BE72E700F7E0C8D5333ACD68F9DC5505FB5B71773CA9A8668B98A17BA8
Recomendaciones:
- Este incidente resalta la importancia de la vigilancia al instalar paquetes y repositorios incluso de fuentes confiables. Es fundamental examinar minuciosamente las dependencias, monitorear actividades sospechosas en la red y mantener prácticas de seguridad sólidas para mitigar el riesgo de ser víctima de tales ataques.
- A medida que la comunidad de ciberseguridad continúa descubriendo y analizando estas amenazas, la colaboración y el intercambio de información siguen siendo esenciales en la batalla en curso contra los actores maliciosos en la cadena de suministro de software.
- Informamos los dominios abusados a Cloudflare y desde entonces han sido eliminados.
- Como parte de la solución Checkmarx Supply Chain Security, éste equipo de investigación monitorea continuamente actividades sospechosas en el ecosistema de software de código abierto. Rastrea y detecta "señales" que pueden indicar un acto malicioso y se alerta de inmediato a los clientes para ayudarlos en la protección.
- Trabajar en forma coordinada y de colaboración para mantener seguro el ecosistema de código abierto.
Referencia:
https://checkmarx.com/blog/over-170k-users-affected-by-attack-using-fake-python-infrastructure/
