Gmail acaba de ser hackeada: ¿está tu cuenta de correo a salvo?

En un preocupante hallazgo, investigadores de ciberseguridad han detectado siete paquetes maliciosos en la plataforma de desarrollo Python Package Index (PyPI) que abusaban de Gmail para exfiltrar datos sensibles y comunicarse con sus operadores.

El descubrimiento, realizado por la firma Socket, reveló que algunos de estos paquetes imitan al legítimo paquete Coffin, lo que facilita su engaño.

Los siete paquetes, que incluyen nombres como Coffin-Codes-Pro, Coffin-Codes y Coffin-Grave, habían acumulado más de 55.000 descargas y algunos de ellos estaban disponibles en la plataforma durante más de cuatro años.

Los delincuentes atacan a los usuarios de criptomonedas con un nuevo malware en la plataforma Python

Estos paquetes, una vez instalados, se conectan a Gmail empleando credenciales codificadas, lo que les permite eludir la mayor parte de las medidas de seguridad, estableciendo una comunicación con un servidor de comando y control (C2).

La investigación indica que los atacantes, aparentemente interesados en el robo de criptomonedas, utilizaban direcciones de correo que contenían términos como “blockchain” y “bitcoin”.

Una de las direcciones de correo comprometidas era sphacoffin@gmail.com, que se usaba para enviar señales de que el malware estaba activo. Este acceso no autorizado permite a los atacantes enviar comandos, robar archivos y ejecutar código de manera remota.

Ante esta amenaza, los expertos instan a todos los usuarios de Python a eliminar inmediatamente los paquetes maliciosos y a rotar las credenciales comprometidas.

Además, se recomienda estar atentos a conexiones salientes inusuales, en particular el tráfico SMTP, y verificar siempre la autenticidad de los paquetes antes de su instalación. Los investigadores enfatizan la importancia de realizar auditorías regulares de dependencias para detectar paquetes inesperados o maliciosos en las etapas iniciales.