Utilizan un popular reto de TikTok para atraer a los usuarios a instalar paquetes maliciosos
Columnas,
2 diciembre, 2022
5 min de lectura
Atacantes usan un popular reto de TikTok para atraer a los usuarios a instalar un paquete maliciosos. Se trata de un reto de moda llamado “Invisible Challenge”, donde las personas son filmadas desnudas mientras usan el efecto de video especial llamado “Cuerpo invisible”. Este efecto elimina el cuerpo del vídeo, creando una imagen de contorno borrosa de él. Los atacantes publican videos con enlaces a un software falso llamado “unfilter” que dice poder para eliminar los filtros de TikTok en los videos grabados mientras el actor se encuentra desnudo.
Una de las Instrucciones para conseguir el software “unfilter” es implementar el malware ladrón WASP escondido dentro de paquetes maliciosos de Python. Los videos publicados por los atacantes alcanzaron más de un millón de visitas en solo un par de días.
El repositorio de GitHub que aloja el código del atacante enumera los proyectos de tendencia diarios de GitHub. Más de 30.000 miembros se han unido al servidor Discord creado por los atacantes hasta el momento y el número continúa aumentando a medida que este ataque sigue su marcha.
El Invisible Challenge de Tik Tok
Esto no es nuevo, de vez en cuando, se crea un nuevo desafío con tendencias peligrosas en las redes sociales, si recuerdan el “Tide Pods Challenge”, o el “Milk Crate Challenge”, sabrán exactamente de lo que se está hablando. Esta vez, el nuevo desafío de moda se llama “Invisible challenge”, donde una persona se graba posando desnuda mientras usa un efecto de video especial llamado “Cuerpo invisible”. Este efecto elimina el cuerpo de la persona haciendo un contorno de imagen borrosa de él o ella.
Este desafío es bastante popular en TikTok y actualmente tiene más de 25 millones de visitas con el hashtag #invisiblefilter.
El Software “Unfilter”
Los usuarios de TikTok @learncyber y @kodibtc publicaron videos en TikTok (con más de 1,000,000 de visitas combinadas) para promocionar una aplicación de software capaz de “eliminar el cuerpo invisible del filtro” con un enlace de invitación para unirse a Discord servidor “discord.gg/unfilter” para obtenerlo.
Una vez que se hace clic en la invitación y se une al servidor Discord “Space Unfilter”, se cargarán videos NSFW creados por el atacante, afirmando ser el resultado de su software de “Unfilter”. Un intento de incluir videos de muestra como prueba para engañar a los usuarios que aceptan instalar su software.
Además, una cuenta de bot, “Nadeko”, envía automáticamente un mensaje privado con una solicitud para protagonizar el repositorio GitHub https://github.com/420World69/Tiktok-Unfilter-Api
Este repositorio de GitHub 420World69/Tiktok-Unfilter-Api se impone como una herramienta de código abierto que puede eliminar el efecto del cuerpo invisible es tendencia en TikTok y actualmente cuenta con 103 aperturas y 17 bifurcaciones, a través de las cuales obtuvo el estado de un proyecto de tendencia de GitHub. Dentro de los archivos del proyecto hay una secuencia de comandos .bat que instala un paquete de Python malicioso que figura un archivo requisitos.txt.
Mirando el historial del proyecto, el atacante usó “pyshftuler”, un paquete malicioso, pero una vez que se informado y eliminado por PyPi, el atacante cargó un nuevo paquete malicioso con un nombre diferente, “pyiopcs”. Este último paquete también se informó y eliminó, y aún tenía que actualizar su código.
Además, el archivo README del proyecto contiene un enlace a un tutorial de YouTube que enseña a los usuarios sobre cómo ejecutar el script de instalación.
Esta campaña está vinculada a otros paquetes maliciosos de Python, “tiktok-filter-api”, “pyshftuler” y “pyiopcs”, y dado que este es un ataque continuo, estamos realizando un seguimiento de las nuevas actualizaciones.
A primera vista, los atacantes utilizaron la técnica StarJacking ya que el paquete malicioso declaraba falsamente el repositorio de GitHub asociado es “https://github.com/psf/requests”. Sin embargo, esto pertenece a un paquete “solicitudes” Python. Hacer esto lo hace parecer popular a simple vista.Además de eso, los atacantes robaron y modificaron la descripción del paquete legítimo y el código dentro de esos paquetes parece haber sido robado de las populares “solicitudes” de paquetes de Python.
Mirando dentro, encontramos en “./<package>/models.py” una modificación sospechosa del archivo original como una línea relacionada con el código de infección de WASP.
Después de un juego del gato y el ratón, PyPi capturó, informó y eliminó los paquetes del atacante por lo que el atacante decidió mover su línea de infección maliciosa del paquete de Python a requisitos.txt como se puede ver en la siguiente captura de pantalla:
¿Cómo es que un atacante ganó tanta popularidad en tan poco tiempo? Se ganó su estatus de tendencia en Project GitHub pidiendo a cada miembro nuevo en su servidor que “protagonice” su proyecto. La gran cantidad de usuarios tentados a unirse a este servidor Discord y potencialmente instalar este malware.
El nivel de manipulación utilizado por los atacantes de la cadena de suministro de software aumenta a medida que los atacantes se vuelven cada vez más inteligentes. Parece que este ataque continúa, y cada vez que el equipo de seguridad de Python elimina sus paquetes, él rápidamente improvisa y crea una nueva identidad o simplemente usa un nombre diferente.
Estos ataques demuestran nuevamente que los atacantes cibernéticos han comenzado a centrar su atención en el ecosistema de paquetes de código abierto; Creemos que esta tendencia sólo se acelerará en 2023.
A medida que vemos más y más ataques diferentes al ecosistema, es fundamental acelerar el flujo de información sobre estos ataques entre todas las partes involucradas (registros de paquetes, investigadores de seguridad, desarrolladores) para proteger el ecosistema de código abierto contra esas amenazas.
Fuente: Checkmarx/CAnalesTI, ACM
