¿Qué es el ladrón de información W4SP?

¿Qué es el ladrón de información W4SP?

  • jueves 8 diciembre, 2022

Si bien el clima más frío hace que la mayoría de los insectos descansen hasta que la primavera da paso a temperaturas más cálidas, hay una criatura con un tipo diferente de picadura que no parece desaparecer pronto: el ladrón de información W4SP.

Las cadenas de suministro han tenido unos años difíciles. La pandemia de Covid-19 causó importantes interrupciones en la cadena de suministro en todo el mundo. Prácticamente todos los productos subieron de precio mientras que los suministros disminuían. Los cuellos de botella obstruyeron la tubería de oferta y demanda. Barcos llenos de productos estaban ociosos en los puertos esperando ser descargados. Sí, fue un desastre. Ahora, se está apuntando a otro tipo de cadena de suministro. Desde mediados de octubre, el malware W4SP ataca las cadenas de suministro de software; en este caso, está usando paquetes de Python para lanzar un ladrón de información.

La cadena de suministro de software

La cadena de suministro de software es tan integral para los desarrolladores como lo son las cadenas de suministro tradicionales para los consumidores. Si no ha oído hablar de la cadena de suministro de software, probablemente se deba a que piensa que las aplicaciones se construyen completamente con código personalizado. Ahora, sin embargo, las bibliotecas y los componentes de código abierto constituyen muchas aplicaciones y extraen la funcionalidad de diferentes fuentes de terceros. Esto constituye esencialmente la cadena de suministro de software, un gran ecosistema que interconecta personas, procesos y sistemas. En resumen, la cadena de suministro de software permite a los desarrolladores lanzar aplicaciones mucho más rápido. Se aprovecha de lo que otros ya han abordado. Da a los desarrolladores una gran ventaja en el proceso de desarrollo. La desventaja es que puede introducir vectores de ataque y exponer vulnerabilidades que crean puntos de entrada para amenazas como el malware W4SP.

Cómo W4SP infectó el índice de paquetes de Python (PyPI)

El lenguaje de programación Python ha ganado una enorme fuerza y ​​notoriedad en los últimos años, y por una buena razón. Es fácil de aprender y usar. Es fiable y flexible. Y hay una gran comunidad de soporte y cientos de marcos y bibliotecas para elegir y usar. Es indiscutiblemente uno de los lenguajes de programación más populares en uso hoy en día. ( Alerta de trivia: el desarrollador holandés Guido van Rossum desarrolló Python a fines de la década de 1980. Lo nombró en honor al famoso grupo de comedia británico Monty Python. ¿Por qué? Bueno, porque quería que Python fuera divertido. Es bastante evidente que logró su objetivo).

W4SP encontró su camino en la cadena de suministro a través del Python Package Index, o PyPI. Escrito en el lenguaje de programación Python, PyPI es un gran depósito de software y código disponible para los desarrolladores. Un actor de amenazas inyectó W4SP en PyPI disfrazándolo como uno de los archivos más descargados del repositorio. Una vez descargado, un script usa un descargador para enganchar la carga útil y ejecutarla. Entonces comienza la diversión.

Entre otras cosas, W4SP Stealer extrae tokens de las cuentas de usuario de Discord, que es un foro de redes sociales popular en la comunidad de desarrolladores. Por supuesto, W4SP también busca toda la información confidencial, incluidas las tarjetas de crédito, las billeteras criptográficas y las contraseñas.

El polimorfismo presenta problemas (de detección)

Lo que hace que el malware W4SP sea difícil de detectar es que es polimórfico, lo que significa que sus funciones y características cambian continuamente. Y cambiar las claves de cifrado y los nombres de los archivos dificulta la detección de coincidencias de patrones. Al mantener las infecciones únicas, pasan desapercibidas más fácilmente.

La cadena de suministro de software se ha convertido en un objetivo principal

El malware W4SP es solo otro de los muchos ejemplos recientes de ataques a la cadena de suministro de software. Cuatro ataques en los últimos 2 años fueron especialmente dañinos y aterradores: SolarWinds, Log4J, Kaseya y Codecov.

Vientos solares

En diciembre de 2020, el servicio de inteligencia ruso SVR agregó una puerta trasera al software Orion de la empresa de software SolarWinds con sede en Texas. SolarWinds ayuda a las organizaciones a administrar sus sistemas e infraestructura tecnológica. La brecha le dio a los actores de la amenaza un viaje sin restricciones y sin ser detectados a las redes de miles de clientes de SolarWinds.

Log4J

Apareciendo originalmente durante el ataque de SolarWinds, los actores de amenazas aprovecharon la utilidad de registro Log4J, que utilizan la mayoría de los proveedores de servicios en la nube y muchas empresas. Inyectaron cadenas de código malicioso que finalmente descargaron y ejecutaron malware desde servidores remotos. A los atacantes se les concedió acceso a los sistemas de las víctimas.

Kaseya

En 2021, REvil, una pandilla de Ransomware-as-a-service (RaaS) con sede en Rusia, se centró en los clientes de la empresa de software Kaseya, con sede en Miami, FL. Desplegaron la carga útil maliciosa a través de servidores Kaseya asociados con VSA, el software de administración y monitoreo remoto de la compañía.

códigocov

Al igual que el ataque de SolarWinds, los actores de amenazas crearon una puerta trasera aprovechando una vulnerabilidad. Esta vez la víctima fue Codecov, una herramienta de prueba de cobertura. Un script modificado les permitió extraer variables de entorno de los clientes de Codecov. Las variables de entorno pueden mantener, entre otras cosas, tokens de autorización previa.

Es hora de tomar acción

Ya sea que se dé cuenta o no, las cadenas de suministro de software juegan un papel integral en nuestra vida diaria. Es muy probable que hoy, posiblemente en este mismo momento, utilice una aplicación que dependa de la cadena de suministro de software. Y cuando tantos desarrolladores confían en ellos y les agregan, es fácil entender por qué son objetivos.

Es por eso que es importante hablar con profesionales de ciberseguridad talentosos y titulares como lo es Radware. Llevan años proporcionando seguridad y tranquilidad a miles de empresas y al sector público. Comuníquese con nosotros y con todo gusto un especialista de Radware se pondrá en contacto contigo.

ventas@advance-nt.com

www.advance-nt.com

5556730701

Post Recientes

Cynet #1 en las evaluaciones de MITRE Engenuity ATT&CK 2023

 miércoles 27 septiembre, 2023 Cynet #1 en las evaluaciones de MITRE Engenuity ATT&CK 2023

Ciberseguridad Automatizada. ¡Sé parte de Infosecurity México 2023!

 lunes 11 septiembre, 2023 Ciberseguridad Automatizada. ¡Sé parte de Infosecurity México 2023!

Vive una experiencia de colaboración híbrida inmersiva con Microsoft Teams & Poly + HP en pantallas gigantes

 viernes 8 septiembre, 2023 Vive una experiencia de colaboración híbrida inmersiva con Microsoft Teams & Poly + HP en pantallas gigantes

Zero Trust antes de comenzar

 sábado 24 junio, 2023 Zero Trust antes de comenzar