Pesquisadores de cibersegurança descobriram um novo pacote malicioso no repositório Python Package Index (PyPI) que se disfarça como uma biblioteca da plataforma blockchain Solana, mas na realidade, é projetado para roubar segredos das vítimas.
"O projeto legítimo da API Python da Solana é conhecido como 'solana-py' no GitHub, mas simplesmente 'solana' no registro de software Python, PyPI," disse o pesquisador da Sonatype, Ax Sharma, em um relatório publicado na semana passada.
Essa pequena discrepância de nomeação foi aproveitada por um ator de ameaça que publicou um projeto 'solana-py' no PyPI.
O pacote malicioso "solana-py" atraiu um total de 1.122 downloads desde que foi publicado em 4 de agosto de 2024.
Ele não está mais disponível para download no PyPI.
O aspecto mais marcante da biblioteca é que ela trazia os números das versões 0.34.3, 0.34.4 e 0.34.5.
A versão mais recente do pacote legítimo "solana" é 0.34.3.
Isso indica claramente uma tentativa por parte do ator de ameaça de enganar usuários que procuram por "solana" a baixarem "solana-py" inadvertidamente.
Além disso, o pacote fraudulento usa o código real de sua contraparte, mas injeta código adicional no script "__init__.py" que é responsável por colher chaves da carteira blockchain da Solana do sistema.
Essas informações são então exfiltradas para um domínio do Hugging Face Spaces operado pelo ator de ameaça ("treeprime-gen.hf[.]space"), ressaltando mais uma vez como os atores de ameaça estão abusando de serviços legítimos para fins maliciosos.
A campanha de ataque representa um risco para a cadeia de suprimentos, já que a investigação da Sonatype encontrou bibliotecas legítimas como "solders" fazendo referências a "solana-py" em sua documentação no PyPI, levando a um cenário onde desenvolvedores poderiam ter baixado inadvertidamente "solana-py" do PyPI e ampliado a superfície de ataque.
"Em outras palavras, se um desenvolvedor usando o pacote PyPI legítimo 'solders' em sua aplicação for induzido ao erro (pela documentação de solders) a cair no projeto 'solana-py' typo-squatted, eles inadvertidamente introduziriam um ladrão de cripto em sua aplicação," explicou Sharma.
"Isso não só roubaria seus segredos, mas também os de qualquer usuário que executasse a aplicação do desenvolvedor.
A divulgação ocorre enquanto a Phylum disse que identificou centenas de milhares de pacotes spam npm no registro contendo marcadores de abuso do protocolo Tea, uma campanha que veio à luz pela primeira vez em abril de 2024.
"O projeto do protocolo Tea está tomando medidas para remediar esse problema," disse a firma de segurança da cadeia de suprimentos.
Seria injusto para os participantes legítimos no protocolo Tea ter sua remuneração reduzida porque outros estão enganando o sistema.
Além disso, o npm começou a retirar alguns desses spammers, mas a taxa de remoção não acompanha a taxa de novas publicações.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...