Investigadores de seguridad has descubierto un backdoor altamente invasivo en paquetes de código abierto dirigidos a desarrolladores de software. Estos paquetes, descargados miles de veces en los últimos ocho meses, representan una seria amenaza para proyectos sensibles y la seguridad de los desarrolladores.
1. La resurgencia de Backdoors Maliciosos
Desde enero, se han identificado ocho herramientas distintas destinadas a desarrolladores, todas ellas contaminadas con cargas útiles maliciosas. La empresa de seguridad Checkmarx ha sido la encargada de exponer esta amenaza. La herramienta más reciente, denominada "pyobfgood", se camufla como una herramienta legítima de ofuscación, diseñada para proteger el código del desarrollador. Sin embargo, una vez ejecutada, revela un backdoor altamente invasivo que otorga al atacante un control total sobre la máquina de desarrollo.
Este backdoor posee una amplia gama de capacidades maliciosas, que incluyen:
- La extracción de información del host,
- Robo de contraseñas de navegadores web como Chrome
- Instalación de keyloggers
- Descarga de archivos del sistema de la víctima
- Captura de pantallas y grabación de audio
- Inutilización del ordenador a través de la manipulación de la CPU
- Cifrado de archivos y desactivación de herramientas de seguridad esenciales, como Windows Defender y el Administrador de tareas.
Además, el backdoor permite la ejecución de comandos en la máquina comprometida.
2. Los desarrolladores de Python en la mira
Estas herramientas maliciosas están dirigidas a desarrolladores que utilizan el lenguaje de programación Python, específicamente a aquellos que tienen motivos para proteger su código debido a secretos comerciales, funciones sensibles o capacidades ocultas. Las herramientas varían en sus cargas maliciosas, pero todas comparten un alto grado de intrusión.
El engaño de las cadenas de nombres
Las ocho herramientas utilizaban la cadena "pyobf" como los cinco primeros caracteres de sus nombres, en un intento de imitar herramientas de ofuscación legítimas como pyobf2 y pyobfuscator. Los nombres de las otras siete herramientas también siguen esta pauta:
- Pyobftoexe
- Pyobfusfile
- Pyobfexecute
- Pyobfpremium
- Pyobflight
- Pyobfadvance
- Pyobfuse
Ataque y destrucción silenciosa
La herramienta "pyobfgood" implementa un bot que se comunica a través de un servidor Discord. Aunque no hay indicios visibles en el ordenador infectado, este bot permite al atacante tomar el control de la cámara del dispositivo de la víctima. El bot descarga discretamente archivos y captura imágenes utilizando la cámara web, que luego se envían al canal de Discord.
Dentro de estas acciones maliciosas, el bot se burla con mensajes sarcásticos sobre el inminente daño a la máquina comprometida, como "Tu ordenador se incendiará, buena suerte. :)" y "Tu ordenador está condenado, buena suerte recuperándolo :)".
Dejando algunos emoticonos al final de estos mensajes no hace menos malévola su intención, sino que destaca la audacia de los atacantes.
Alcance geográfico
Las descargas de estos paquetes maliciosos se originaron principalmente en Estados Unidos (62%), seguido de China (12%) y Rusia (6%). Esto subraya la gravedad de la amenaza y el valor de los proyectos que los desarrolladores buscan proteger.
Esta amenaza no es nueva en absoluto; ha habido casos previos de malware que se camufla en software de código abierto, imitando nombres de paquetes legítimos. Un ejemplo de esto ocurrió en 2016, cuando un estudiante universitario subió scripts incompletos a sitios web comunitarios de desarrolladores, como RubyGems, PyPi y NPM, destinados a lenguajes de programación como Python, Ruby y JavaScript. Sorprendentemente, estos scripts falsos se ejecutaron más de 45,000 veces en más de 17,000 dominios diferentes. Además, en más del 50% de los casos, los scripts maliciosos obtuvieron permisos administrativos de alto nivel, incluso en dominios que terminaban en ".mil", sugiriendo que incluso el ejército estadounidense fue víctima de este engaño.
Estos incidentes, que demostraron la efectividad de esta estrategia, llevaron a que atacantes del mundo real adoptaran esta técnica y continuaran realizando envíos de software de código abierto comprometido.
Este flujo constante de ataques sirve como un recordatorio crítico de la importancia de la evaluación rigurosa de los paquetes de código abierto antes de su implementación. Para aquellos preocupados por haber sido víctimas de tales ataques, se recomienda buscar la presencia de cualquiera de las ocho herramientas mencionadas, la cadena única del servidor Discord y las URL mencionadas, que son indicadores clave de un compromiso de seguridad. La persistencia de esta amenaza subraya la necesidad continua de priorizar la seguridad en el desarrollo de software.
