Por Guy Nachshon y Tal Folkman, investigadores de seguridad de Checkmarx
Atacantes usan un popular reto de TikTok para atraer a los usuarios a instalar un paquete maliciosos
Un reto en TikTok de moda llamado "Invisible Challenge", donde las personas son filmadas desnudas mientras usan el efecto de video especial llamado "Cuerpo invisible". Este efecto elimina el cuerpo del vídeo, creando una imagen de contorno borrosa de él.
Estos atacantes publican videos de TikTok con enlaces a un software falso llamado "unfilter" que dice poder para eliminar los filtros de TikTok en los videos grabados mientras el actor se encuentran desnudos
Una de las Instrucciones para conseguir el software "unfilter" es implementar el malware ladrón WASP escondido dentro de paquetes maliciosos de Python
Los videos de TikTok publicados por los atacantes alcanzaron más de un millón de visitas en solo un par de días.
El repositorio de GitHub que aloja el código del atacante enumera los proyectos de tendencia diarios de GitHub.
Más de 30.000 miembros se han unido al servidor Discord creado por los atacantes hasta el momento y el número continúa aumentando a medida que este ataque sigue su marcha.
El Invisible Challenge de Tik Tok
De vez en cuando, se crea un nuevo desafío con tendencias peligrosas en las redes sociales, si recuerdan el “Tide Pods Challenge'', o el “Milk Crate Challenge”, sabrán exactamente de lo que estoy hablando. Esta vez, el nuevo desafío de moda se llama "Invisible challenge", donde una persona se graba posando desnuda mientras usa un efecto de video especial llamado "Cuerpo invisible". Este efecto elimina el cuerpo de la persona haciendo un contorno de imagen borrosa de él o ella.
Este desafío es bastante popular en TikTok y actualmente tiene más de 25 millones de visitas con el hashtag #invisiblefilter.
El Software “Unfilter”
Los usuarios de TikTok @learncyber y @kodibtc publicaron videos en TikTok (con más de 1,000,000 de visitas combinadas) para promocionar una aplicación de software capaz de "eliminar el cuerpo invisible del filtro" con un enlace de invitación para unirse a Discord servidor “discord.gg/unfilter” para obtenerlo.
Servidor de Discord "Space Unfilter"
Una vez que se hace clic en la invitación y se une al servidor Discord "Space Unfilter", se cargarán videos NSFW creados por el atacante, afirmando ser el resultado de su software de "Unfilter". Un intento de incluir videos de muestra como prueba para engañar a los usuarios que aceptan instalar su software.
Además, una cuenta de bot, "Nadeko", envía automáticamente un mensaje privado con una solicitud para protagonizar el repositorio GitHub https://github.com/420World69/Tiktok-Unfilter-Api
Tendencia GitHub Repo
Este repositorio de GitHub 420World69/Tiktok-Unfilter-Api se impone como una herramienta de código abierto que puede eliminar el efecto del cuerpo invisible es tendencia en TikTok y actualmente cuenta con 103 aperturas y 17 bifurcaciones, a través de las cuales obtuvo el estado de un proyecto de tendencia de GitHub.
Dentro de los archivos del proyecto hay una secuencia de comandos .bat que instala un paquete de Python malicioso que figura un archivo requisitos.txt.
Mirando el historial del proyecto, el atacante usó “pyshftuler”, un paquete malicioso, pero una vez que se informado y eliminado por PyPi, el atacante cargó un nuevo paquete malicioso con un nombre diferente, “pyiopcs”. Este último paquete también se informó y eliminó, y aún tenía que actualizar su código.
Además, el archivo README del proyecto contiene un enlace a un tutorial de YouTube que enseña a los usuarios sobre cómo ejecutar el script de instalación.
Análisis técnico: paquetes maliciosos de Python
Esta campaña está vinculada a otros paquetes maliciosos de Python, "tiktok-filter-api", "pyshftuler" y "pyiopcs", y dado que este es un ataque continuo, estamos realizando un seguimiento de las nuevas actualizaciones.
A primera vista, los atacantes utilizaron la técnica StarJacking ya que el paquete malicioso declaraba falsamente el repositorio de GitHub asociado es "https://github.com/psf/requests". Sin embargo, esto pertenece a un paquete "solicitudes" Python. Hacer esto lo hace parecer popular a simple vista.
Además de eso, los atacantes robaron y modificaron la descripción del paquete legítimo y el código dentro de esos paquetes parece haber sido robado de las populares "solicitudes" de paquetes de Python.
Mirando dentro, encontramos en “./<package>/models.py” una modificación sospechosa del archivo original como una línea relacionada con el código de infección de WASP.
Un movimiento desesperado
Después de un juego del gato y el ratón, PyPi capturó, informó y eliminó los paquetes del atacante por lo que el atacante decidió mover su línea de infección maliciosa del paquete de Python a requisitos.txt como se puede ver en la siguiente captura de pantalla:
Conclusión
¿Cómo es que un atacante ganó tanta popularidad en tan poco tiempo? Se ganó su estatus de tendencia en Project GitHub pidiendo a cada miembro nuevo en su servidor que "protagonice" su proyecto.
La gran cantidad de usuarios tentados a unirse a este servidor Discord y potencialmente instalar este malware.
El nivel de manipulación utilizado por los atacantes de la cadena de suministro de software aumenta a medida que los atacantes se vuelven cada vez más inteligentes.
Parece que este ataque continúa, y cada vez que el equipo de seguridad de Python elimina sus paquetes, él rápidamente improvisa y crea una nueva identidad o simplemente usa un nombre diferente.
Estos ataques demuestran nuevamente que los atacantes cibernéticos han comenzado a centrar su atención en el ecosistema de paquetes de código abierto; Creemos que esta tendencia sólo se acelerará en 2023.
A medida que vemos más y más ataques diferentes al ecosistema, es fundamental acelerar el flujo de información sobre estos ataques entre todas las partes involucradas (registros de paquetes, investigadores de seguridad, desarrolladores) para proteger el ecosistema de código abierto contra esas amenazas.
Timeline
2022-10-28 - Se crea el código abierto WASP
2022-11-10 - El servidor Discord "Unfilter Space" es creado
2022-11-11 - Vídeos son publicados en TikTok
2022-11-12 - El paquete de Python "tiktok-filter-api" es publicado por el atacante
2022-11-12 - El paquete Python “pyshfyuler” es publicado por el atacante
2022-11-12 - Se crea el repositorio 420World69/Tiktok-Unfilter-Api en GitHub
2022-11-13 - "tiktok-filter-api" y "pyshfyuler" informados como maliciosos para pypi
2022-11-18 - El paquete Python “pyiopcs” es publicado por el atacante
2022-11-19 - El paquete de Python "pyiopcs" es reportado como malicioso a pypi
2022-11-22 - El Repositorio de GitHub es reportado como malicioso
2022-11-22 - Es reportado como malicioso el servidor de Discord
2022-11-22 - Los videos publicados en TikTok son reportados como estafa
2022-11-22 - El atacante mueve el código malicioso del paquete PyPi a los requisitos.txt
2022–11–23 - El atacante eliminó el código malicioso de su repositorio
2022–11–26 - El atacante agregó el mismo código malicioso a main.py y method.py
2022–11–27 - Servidor Discord “Unfilter Space” es eliminado
2022–11–27 - El atacante cambió el nombre de su repositorio de GitHub a 42World69/Nitro-generator
2022–11–27 - El atacante eliminó archivos antiguos en su repositorio y cargó archivos para adaptarse a Nitro-generator
2022–11–27 - El paquete de Python “pydesings” publicado por el equipo detrás de WASP
2022–11–27 - El atacante agregó el paquete malicioso “pydesings” a los requisitos.txt
2022–11–27 - El atacante agregó un código malicioso a main.py
2022–11–28 - El paquete de Python “pyshdesings” publicado por los creadores de WASP
Acerca de Checkmarx
Checkmarx está constantemente ampliando los límites de las pruebas de seguridad de aplicaciones (AppSec) para hacer que la seguridad sea simple y consistente para los desarrolladores a nivel mundial, al tiempo que brinda a los CISO la confianza y el control que necesitan. Como líder de las pruebas de AppSec, Checkmarx proporciona la plataforma AST más completa de la industria, Checkmarx One, que brinda a los desarrolladores y equipos de seguridad una precisión, cobertura, visibilidad y orientación incomparables para la reducción de riesgos en todos los componentes de software modernos, incluido el código propietario, código abierto, APIs e infraestructura como código. Más de 1800 clientes, incluida la mitad de Fortune 50, confían en la tecnología de seguridad, la investigación experta y los servicios globales de Checkmarx para optimizar de forma segura el desarrollo a velocidad y escala. Para obtener más información, visite el sitio web de Checkmarx, consulte el blog o siga a la empresa en LinkedIn.
No hay comentarios:
Publicar un comentario