Pesquisadores de segurança cibernética identificaram um conjunto de 116 pacotes maliciosos no índice de pacotes Python (PyPI) projetados para infectar sistemas Windows e Linux com um backdoor personalizado.
"Em alguns casos, a payload é uma variante do infame W4SP Stealer, ou um simples monitor de clipboard para roubar criptomoedas, ou ambos", disseram os pesquisadores da ESET, Marc-Etienne M.Léveillé e Rene Holt, em um relatório publicado no início desta semana.
Estima-se que os pacotes tenham sido baixados mais de 10.000 vezes desde maio de 2023.
Os atores de ameaças por trás da atividade têm sido observados usando três técnicas para inserir código malicioso em pacotes Python, nomeadamente através de um script test.py, incorporando PowerShell no arquivo setup.py, e o incorporando em forma ofuscada no arquivo __init__.py.
Independentemente do método usado, o objetivo final da campanha é comprometer o host alvo com malware, principalmente um backdoor capaz de execução de comando remoto, exfiltração de dados e captura de telas.
O módulo backdoor é implementado em Python para Windows e em Go para Linux.
Alternativamente, as cadeias de ataque também culminam na implantação do W4SP Stealer ou um malware clipper projetado para monitorar de perto a atividade do clipboard de uma vítima e substituir o endereço original da carteira, se presente, por um endereço controlado pelo atacante.
Este é o mais recente lançamento na onda de pacotes Python comprometidos que os invasores lançaram para envenenar o ecossistema de código aberto e distribuir uma variedade de malwares para ataques na cadeia de suprimentos.
É também a mais recente adição a um fluxo contínuo de pacotes PyPI falsos que têm atuado como um canal furtivo para distribuir malware stealers.
Em maio de 2023, a ESET revelou outro grupo de bibliotecas que foram projetadas para propagar o Sordeal Stealer, que empresta suas características do W4SP Stealer.
Então, no mês passado, pacotes mal-intencionados que se passavam por ferramentas de ofuscação aparentemente inofensivas foram encontrados para implantar um malware stealer codinome BlazeStealer.
"Desenvolvedores Python devem avaliar cuidadosamente o código que baixam, principalmente verificando essas técnicas, antes de instalá-los em seus sistemas”, alertaram os pesquisadores.
A divulgação também segue a descoberta de pacotes npm que foram encontrados alvos de uma instituição financeira não identificada como parte de um "exercício de simulação avançada de adversário".
Os nomes dos módulos, que continham um blob encriptado, foram retidos para proteger a identidade da organização.
"A payload descriptografada contém um binário embutido que habilmente exfiltra as credenciais do usuário para um webhook do Microsoft Teams interno à empresa alvo em questão", revelou a empresa de segurança da cadeia de suprimentos de software, Phylum, na semana passada.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...