Python: Paquete malicioso que puede recopilar datos.

La empresa de seguridad de la cadena de suministro Phylum descubrió un paquete de Python malicioso en el repositorio Python Package Index (PyPI) que usa Unicode para evadir la detección y entregar malware que roba información.

El paquete, denominado onyxproxy, se cargó en el repositorio de PyPI el 15 de marzo de 2023. El análisis del paquete reveló que admite capacidades de recolección de datos.

“La plataforma automatizada de Phylum detectó recientemente el paquete onyxproxy en PyPI, un paquete malicioso que recolecta y extrae credenciales y otros datos confidenciales. En muchos sentidos, este paquete tipifica otros ladrones de tokens que hemos encontrado frecuentes en PyPI”. “Sin embargo, una característica de este paquete en particular nos llamó la atención: una técnica de ofuscación que se previó en 2007 durante una discusión sobre el soporte de Python para Unicode, documentada en PEP- 3131”.

Mientras inspeccionaban el código, los expertos utilizaron varias fuentes sans-serif extrañas, no monoespaciadas, con negrita y cursiva mixtas. Los atacantes utilizaron variantes Unicode de caracteres que parecen idénticos a una inspección humana (homoglifos) (es decir, uno mismo frente a ????). Los atacantes usaron este truco para evadir la detección, pero cuando el intérprete de Python analizó el código, se ejecutó el código malicioso.

“Un beneficio obvio e inmediato de este extraño esquema es la legibilidad. Todavía podemos razonar fácilmente sobre este código, porque nuestros ojos y cerebros aún pueden leer las palabras, a pesar de las fuentes entremezcladas. Además, estas diferencias visibles no impiden que el código se ejecute, lo cual sucede”. continúa el análisis. “Uno podría descartar esto como un desarrollador que intenta mostrar cuán inteligentes pueden ser, excepto que este paquete está tratando de robar y filtrar cosas inmediatamente después de la instalación”.

Los investigadores Nicholas Boucher y Ross Anderson detallaron una técnica similar, quienes explicaron cómo abusar de los caracteres de anulación bidireccional y los homoglifos en una variedad de lenguajes de programación.

Los expertos señalaron que el autor de  onyxproxy  demuestra que no es sofisticado, probablemente simplemente cortó y pegó código de varias fuentes y las unió. Esta técnica de ofuscación está ausente en otras partes del código en setup.py y muchos módulos de Python se importan varias veces.

“Pero, quien sea que este autor copió este código ofuscado es lo suficientemente inteligente como para saber cómo usar las partes internas del intérprete de Python para generar un nuevo tipo de código ofuscado, un tipo que es algo legible sin divulgar demasiado de qué es exactamente el código. tratando de robar.” concluye el informe. “Esta novedad es algo que estaremos vigilando en Phylum, porque ahora que esta técnica ha demostrado ser viable en la naturaleza, anticipamos que otros la copiarán y mejorarán sus intentos de atacar a los desarrolladores”.

Fuente: Security affairs