Un sofisticado ataque de la cadena de suministro dirigida a los desarrolladores de Python ha surgido a través de un paquete aparentemente inocuo llamado Termncolor, que oculta una operación de malware de varias etapas diseñada para establecer un acceso persistente en sistemas comprometidos.
El paquete malicioso, distribuido a través del Índice de paquetes de Python (PYPI), se disfraza de una utilidad de color terminal legítima mientras implementa en secreto capacidades avanzadas de puerta trasera que aprovechan las técnicas de respuesta lateral de DLL y la manipulación del registro de Windows para persistencia.
El ataque comienza cuando los desarrolladores desprevenidos instalan el paquete TermnColor, que importa automáticamente su dependencia maliciosa, colorinal.
Este paquete secundario sirve como el verdadero punto de entrada para la cadena de ataque, empleando una serie de operaciones cuidadosamente orquestadas que culminan en la ejecución de código remoto y el compromiso del sistema.
La cadena de ataque (fuente – ZScaler)
El diseño del malware demuestra técnicas de evasión sofisticadas, incluido el uso de componentes de aspecto legítimo y cargas útiles encriptadas para evitar la detección de herramientas de seguridad tradicionales.
Investigadores de Zscaler identificado El paquete malicioso el 22 de julio de 2025, durante el monitoreo de rutina de su base de datos de escaneo de paquetes de Python.
El descubrimiento reveló una compleja infraestructura de ataque que se extiende más allá de la simple funcionalidad de puerta trasera, incorporando patrones avanzados de comunicación de comando y control que imitan las plataformas de mensajería legítimas para disfrazar el tráfico malicioso.
Los investigadores señalaron que tanto Termncolor como Colorinal han sido eliminados de PYPI, aunque la amenaza demuestra los riesgos continuos asociados con los ataques de la cadena de suministro de software de código abierto.
El impacto del malware se extiende en entornos de Windows y Linux, con variantes especializadas adaptadas para cada sistema operativo.
La sofisticación del ataque se encuentra en su enfoque de varias capas, combinando tácticas de ingeniería social con precisión técnica para lograr sus objetivos.
Las infecciones iniciales pueden parecer benignas, ya que la utilidad de color funciona normalmente, mientras que los componentes maliciosos funcionan en silencio en segundo plano, lo que hace que la detección sea particularmente desafiante para las organizaciones que dependen solo de herramientas de escaneo automatizadas.
Mecanismo de persistencia y manipulación del registro
El aspecto más crítico de la operación de este malware se centra en su sofisticado mecanismo de persistencia, que garantiza el acceso continuo del sistema incluso después de reiniciar.
Una vez que el paquete colorinal inicial se ejecuta, desencadena el archivo unicode.py, que carga una DLL incrustada llamada terminar.dll en la memoria.
Esta DLL sirve como el componente principal de cuentagotas, utilizando el cifrado AES en el modo CBC para descifrar e implementar dos archivos clave en el sistema de destino.
La estrategia de persistencia emplea una técnica clásica de modificación de Registro de Windows, creando una entrada llamada “PKT-UPDATE” bajo la tecla de registro HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVeVersion \ Run Registry.
Esta entrada apunta a VCPKTSVR.EXE, un ejecutable legítimamente firmado que el malware cae en el directorio de %LocalAppData %\ VCPacket. El uso de un ejecutable firmado proporciona una capa adicional de legitimidad que ayuda a evadir el escrutinio de seguridad.
La verdadera carga útil del malware reside en libcef.dll, que acompaña a VCPKTSVR.EXE y se ejecuta a través de DLL Sideloting.
Esta técnica explota el orden de búsqueda de DLL de Windows, lo que permite que la biblioteca maliciosa se disfraza como un componente legítimo mientras mantiene el acceso persistente de puerta trasera.
El componente libcef.dll maneja el reconocimiento del sistema y las comunicaciones de comando y control, utilizando la plataforma de mensajería Zulip para disfrazar su tráfico de red como comunicaciones legítimas del equipo.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
