Clicky

Hackers de JuiceLedger detrás de los recientes ataques de phishing contra los usuarios de PyPI

Malware en PyPi

El malware llamado JuiceStealer está diseñado para desviar contraseñas y otros datos confidenciales

Han surgido más detalles sobre los operadores detrás de la primera campaña de phishing conocida dirigida específicamente al Python Package Index (PyPI), el repositorio oficial de software de terceros para el lenguaje de programación.

Al conectarlo con un actor de amenazas rastreado como JuiceLedger, la firma de ciberseguridad SentinelOne, junto con Checkmarx, describió al grupo como una entidad relativamente nueva que surgió a principios de 2022.

Se dice que las campañas iniciales de "bajo perfil" involucraron el uso de aplicaciones de instalación de Python no autorizadas para entregar un malware basado en .NET llamado JuiceStealer que está diseñado para desviar contraseñas y otros datos confidenciales de los navegadores web de las víctimas.

Los ataques recibieron el mes pasado un significativo lavado de cara cuando los actores de JuiceLedger se dirigieron a los contribuyentes del paquete PyPi en una campaña de phishing, lo que resultó en el compromiso con malware de tres paquetes.

"El ataque a la cadena de suministro contra los contribuyentes del paquete PyPI parece ser una escalada de una campaña que comenzó a principios de año y que inicialmente se dirigía a víctimas potenciales a través de aplicaciones de comercio de criptomonedas falsas", dijo en un informe el investigador de SentinelOne, Amitai Ben Shushan Ehrlich.

PyPi JuiceLedger

Presumiblemente, el objetivo es infectar a una audiencia más amplia con el ladrón de información a través de una combinación de paquetes troyanizados y typosquat, agregó la firma de ciberseguridad.

El desarrollo se suma a las crecientes preocupaciones en torno a la seguridad del ecosistema de código abierto, lo que llevó a Google a tomar medidas para anunciar recompensas monetarias por encontrar fallas en sus proyectos disponibles en el dominio público.

Con los ataques de apropiación de cuentas convirtiéndose en un popular vector de infección para los atacantes que buscan envenenar las cadenas de suministro de software, PyPI ha comenzado a imponer un requisito obligatorio de autenticación de dos factores (2FA) para los proyectos considerados "críticos".

"JuiceLedger parece haber evolucionado muy rápidamente de infecciones oportunistas a pequeña escala hace solo unos meses a realizar un ataque a la cadena de suministro en un importante distribuidor de software", dijo SentinelOne.

Jesus_Caceres