Un sofisticado ataque de la cadena de suministro de software que aprovecha el repositorio del índice de paquetes de Python (PYPI) utiliza la infraestructura SMTP de Google para implementar malware como un mecanismo de comando y control.
La campaña incluyó siete paquetes maliciosos: Coffin-Codes-Pro, Coffin-Codes-Net2, Coffin-codes-Net, Coffin-Codes-2022, FFICL2022, Fficin-Grave y CFC-BSB.
Tecnología de túneles sofisticada
El paquete malicioso funciona utilizando credenciales codificadas para establecer una conexión SMTP a un servidor Gmail y crear un túnel de dos vías que permita a los atacantes remotos ejecutar comandos y ejecutar datos.
Esta técnica es particularmente insidiosa, ya que el tráfico SMTP generalmente se considera legal por los firewalls y los sistemas de detección de puntos finales.
El paquete principal, Coffin-codes-Pro, muestra los siguientes métodos de ataque:
Después de establecer la conexión inicial, el malware crea una conexión WebSocket que actúa como un canal de comando y control.
Según la fecha de lanzamiento del paquete PYPI, los actores de amenaza han estado desarrollando esta hazaña durante al menos tres años.
El paquete más antiguo lanzado en marzo de 2021, CFC-BSB no tiene la capacidad de expulsar los correos electrónicos, pero aún implementa el mismo túnel HTTP basado en WebSocket sospechoso que NGROK.
Las versiones posteriores utilizarán constantemente el servidor SMTP de Gmail en el puerto 465 para mejorar la técnica que solo cambia con las credenciales de la cuenta utilizadas para la autenticación.
El paquete se comunica consistentemente con la misma dirección del destinatario. (Protección por correo electrónico).
Estos paquetes plantean riesgos graves y permiten a los atacantes:
Acceda a los paneles internos, API y paneles de administración. Transfiera el archivo y ejecute el comando shell. Cosecha de calificaciones e información confidencial. Establecer persistencia para una mayor penetración de la red.
“Anteriormente, los actores de amenaza usaron esta táctica para absorber sus llaves privadas sobre Solana”, dijo un informe de Socket compartido con Cybersecurity News.
“Los atacantes pueden acceder a paneles internos, API o paneles de administración que solo son accesibles para las víctimas”. Una referencia a la “cadena de bloques” de los canales de comunicación sugiere que el robo de criptomonedas puede ser la principal motivación.
Los expertos en seguridad recomiendan:
Conexiones de salida anormales, particularmente monitoreo del tráfico SMTP. Verifique la confiabilidad del paquete a través de los recuentos de descargas y el historial del editor. Realice auditorías de dependencia regulares. Implemente un control de acceso estricto para recursos confidenciales. Use un entorno huérfano para probar el código de terceros.
Estos hallazgos destacan las tendencias de crecimiento en los ataques de la cadena de suministro dirigido a repositorios de paquetes.
La aplicación Socket Github, la CLI y las extensiones del navegador pueden proporcionar protección al escanear para dependencias en paquetes maliciosos o de tipo escaso antes de ingresar a un proyecto.
Los siete paquetes se han eliminado de PYPI, pero esta técnica representa una amenaza en evolución que los equipos de seguridad necesitan monitorear de cerca porque es consistente con la técnica MITER ATT & CK T1102.002 (servicios web: comunicación bidireccional).
¿Eres de los equipos SOC y DFIR? -Inicie los incidentes de malware en tiempo real.
