Investigadores de ciberseguridad han descubierto un paquete malicioso en el repositorio Python Package Index (PyPI) que apunta a sistemas Apple macOS con el objetivo de robar las credenciales de Google Cloud de un grupo específico de víctimas. El paquete, llamado "lr-utils-lib", fue descargado 59 veces antes de ser retirado a principios de junio de 2024.

"El malware utiliza una lista de hashes predefinidos para atacar máquinas macOS específicas y tratar de recolectar datos de autenticación de Google Cloud," dijo Yehuda Gelb, investigador de Checkmarx, en un informe publicado el viernes. "Las credenciales recolectadas se envían a un servidor remoto." Un aspecto importante del paquete es que primero verifica si ha sido instalado en un sistema macOS, y solo entonces compara el Universally Unique Identifier (UUID) del sistema con una lista codificada de 64 hashes.

Si la máquina comprometida está entre las especificadas en el conjunto predefinido, intenta acceder a dos archivos, application_default_credentials.json y credentials.db, ubicados en el directorio ~/.config/gcloud, que contienen datos de autenticación de Google Cloud. La información capturada se transmite luego a través de HTTP a un servidor remoto "europe-west2-workload-422915[.]cloudfunctions[.]net."

Checkmarx también encontró un perfil falso en LinkedIn con el nombre "Lucid Zenith", que coincidía con el propietario del paquete y falsamente afirmaba ser el CEO de Apex Companies, lo que sugiere un posible elemento de ingeniería social en el ataque.

Actualmente no se sabe quién está detrás de la campaña. Sin embargo, esto ocurre más de dos meses después de que la firma de ciberseguridad Phylum revelara detalles de otro ataque a la cadena de suministro que involucraba un paquete de Python llamado "requests-darwin-lite", que también desataba sus acciones maliciosas después de verificar el UUID del host macOS.

Estas campañas son una señal de que los actores de amenazas tienen conocimientos previos sobre los sistemas macOS que desean infiltrar y están haciendo grandes esfuerzos para asegurar que los paquetes maliciosos se distribuyan solo a esas máquinas en particular.

También habla de las tácticas que los actores maliciosos emplean para distribuir paquetes similares, con el objetivo de engañar a los desarrolladores para que los incorporen en sus aplicaciones.

"Aunque no está claro si este ataque tenía como objetivo a individuos o empresas, este tipo de ataques pueden tener un impacto significativo en las empresas," dijo Gelb. "Aunque el compromiso inicial suele ocurrir en la máquina de un desarrollador individual, las implicaciones para las empresas pueden ser sustanciales."