27 Pacotes Maliciosos PyPI com Milhares de Downloads Encontrados visando Especialistas em TI
17 de Novembro de 2023

Um ator desconhecido foi observado publicando pacotes typosquat no Python Package Index (PyPI) por quase seis meses com o objetivo de entregar malware capaz de ganhar persistência, roubar dados sensíveis e acessar carteiras de criptomoedas para ganho financeiro.

Os 27 pacotes, que se disfarçaram como bibliotecas Python legítimas populares, atraíram milhares de downloads, segundo a Checkmarx em um novo relatório.

A maioria dos downloads veio dos EUA, China, França, Hong Kong, Alemanha, Rússia, Irlanda, Singapura, Reino Unido e Japão.
"Uma característica definidora deste ataque foi a utilização de esteganografia para esconder um payload malicioso dentro de um arquivo de imagem com aparência inocente, o que aumentou a furtividade do ataque", disse a empresa de segurança da cadeia de suprimentos de software.

Alguns dos pacotes são pyefflorer, pyminor, pyowler, pystallerer, pystob e pywool, este último plantado em 13 de maio de 2023.

Um denominador comum a estes pacotes é o uso do script setup.py para incluir referências a outros pacotes maliciosos (ou seja, pystob e pywool) que implantam um script em Visual Basic (VBScript) para baixar e executar um arquivo chamado "Runtime.exe" para obter persistência no host.

Incorporado dentro do binário há um arquivo compilado capaz de recolher informações de navegadores web, carteiras de criptomoedas e outras aplicações.

Uma cadeia de ataque alternativa observada pela Checkmarx teria escondido o código executável dentro de uma imagem PNG ("uwu.png"), que é posteriormente decodificada e executada para extrair o endereço IP público e o identificador único universal (UUID) do sistema afetado.

Os pacotes Pystob e Pywool, em particular, foram publicados sob o disfarce de ferramentas para gerenciamento de API, apenas para exfiltrar os dados para um Discord webhook e tentar manter a persistência colocando o arquivo VBS na pasta de inicialização do Windows.

"Essa campanha serve como mais um lembrete aterrador das constantes ameaças que existem no cenário digital de hoje, particularmente em áreas onde a colaboração e a troca aberta de código são fundamentais", disse a Checkmarx.

O desenvolvimento ocorre quando o ReversingLabs descobriu uma nova onda de pacotes de protestware npm que "escondem scripts transmitindo mensagens de paz relacionadas aos conflitos na Ucrânia e em Israel e na Faixa de Gaza."

Um dos pacotes, chamado @snyk/sweater-comb (versão 2.1.1), determina a localização geográfica do host e, se for constatado que é a Rússia, exibe uma mensagem criticando a "invasão injustificada" da Ucrânia através de outro módulo chamado "es5-ext".

Outro pacote, e2eakarev, tem a descrição "pacote de protesto free palestine" no arquivo package.json e realiza verificações semelhantes para ver se o endereço IP resolve para Israel e, se sim, registra o que é descrito como uma "mensagem de protesto inofensiva" que pede aos desenvolvedores para aumentar a conscientização sobre a luta palestina.

Não são apenas atores de ameaças que infiltram ecossistemas open-source.

No início da semana, a GitGuardian revelou a presença de 3.938 segredos únicos em 2.922 projetos PyPI, dos quais 768 segredos únicos foram considerados válidos.

Isso inclui chaves AWS, chaves da API do Azure Active Directory, chaves do aplicativo OAuth do GitHub, chaves Dropbox, chaves SSH e credenciais associadas ao MongoDB, MySQL, PostgreSQL, Coinbase e Twilio.

Além disso, muitos desses segredos foram vazados mais de uma vez, abrangendo várias versões de lançamento, trazendo o número total de ocorrências para 56.866.

"A exposição de segredos em pacotes open source traz riscos significativos para desenvolvedores e usuários", disse Tom Forbes da GitGuardian.

"Os invasores podem explorar essas informações para obter acesso não autorizado, se passar por mantenedores de pacotes ou manipular usuários através de táticas de engenharia social."

A onda contínua de ataques direcionados à cadeia de suprimentos de software também levou o governo dos EUA a emitir novas orientações este mês para desenvolvedores e fornecedores de software manterem e gerarem conscientização sobre a segurança do software.

"Recomenda-se que as organizações de aquisição atribuam avaliações de risco à cadeia de suprimentos às suas decisões de compra, dadas as recentes ocorrências de alto perfil na cadeia de suprimentos de software", disseram a Agência de Segurança Cibernética e Infraestrutura (CISA), a Agência de Segurança Nacional (NSA) e o Escritório do Diretor de Inteligência Nacional (ODNI).

"Desenvolvedores e fornecedores de software devem melhorar seus processos de desenvolvimento de software e reduzir o risco de prejudicar não apenas os funcionários e acionistas, mas também seus usuários."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...