Malware BlazeStealer descubierto en paquetes python
Se ha detectado un paquete malicioso en los repositorios PyPl con el fin de robar informacion confidencial de sistemas comprometidos. Dichos paquetes se hacen pasar por herramientas de ofuscación inofensivas pero en realidad albergan el malware de robo de información “BlazeStealer”.
La campaña comenzó en enero de 2023, incluye un total de ocho paquetes denominados Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse y pyobfgood, el último de los cuales se publicó en octubre.
Estos módulos vienen con archivos setup.py e init.py que están diseñados para descargar un script de Python alojado en transfer[.]sh, que se ejecuta inmediatamente después de su instalación.
El malware ejecuta un bot de Discord y permite al actor de amenazas recopilar una amplia gama de información, incluidas contraseñas de navegadores web y capturas de pantalla, ejecutar comandos arbitrarios, cifrar archivos y desactivar Microsoft Defender Antivirus en el host infectado.
El dominio del código abierto sigue siendo un terreno fértil para la innovación, pero exige precaución. Los desarrolladores deben permanecer atentos y examinar los paquetes antes de su consumo.
Paquetes:
- Pyobftoexe
- archivo pyobfus
- Pyobfejecutar
- Pyobfpremium
- Piobflita
- Pyobfadvance
- Pyobfuse
- pyobfbueno
Recomendaciones
Indicadores de compromiso.
hxxps[:]//transfer[.]sh/get/wDK3Q8WOA9/start[.]py
hxxps[:]//www[.]nirsoft[.]net/utils/webcamimagesave.zip
Referencias
- https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html
- https://checkmarx.com/blog/python-obfuscation-traps/?
.jpg)
