Pesquisadores em cibersegurança alertaram sobre uma campanha maliciosa que visa os usuários do repositório Python Package Index (PyPI) com bibliotecas falsas que se disfarçam como utilitários relacionados a "tempo", mas possuem funcionalidade oculta para roubar dados sensíveis, como tokens de acesso à nuvem.
A empresa de segurança da cadeia de fornecimento de software, ReversingLabs, disse que descobriu dois conjuntos de pacotes, totalizando 20 deles.
Os pacotes foram cumulativamente baixados mais de 14.100 vezes:
- snapshot-photo (2.448 downloads)
- time-check-server (316 downloads)
- time-check-server-get (178 downloads)
- time-server-analysis (144 downloads)
- time-server-analyzer (74 downloads)
- time-server-test (155 downloads)
- time-service-checker (151 downloads)
- aclient-sdk (120 downloads)
- acloud-client (5.496 downloads)
- acloud-clients (198 downloads)
- acloud-client-uses (294 downloads)
- alicloud-client (622 downloads)
- alicloud-client-sdk (206 downloads)
- amzclients-sdk (100 downloads)
- awscloud-clients-core (206 downloads)
- credential-python-sdk (1.155 downloads)
- enumer-iam (1.254 downloads)
- tclients-sdk (173 downloads)
- tcloud-python-sdks (98 downloads)
- tcloud-python-test (793 downloads)
Enquanto o primeiro conjunto se relaciona com pacotes usados para fazer upload de dados para a infraestrutura do atacante, o segundo conjunto consiste em pacotes que implementam funcionalidades de cliente na nuvem para vários serviços como Alibaba Cloud, Amazon Web Services e Tencent Cloud.
No entanto, eles também têm usado pacotes relacionados a "tempo" para exfiltrar segredos da nuvem.
Todos os pacotes identificados já foram removidos do PyPI até o momento desta redação.
Outras análises revelaram que três dos pacotes, acloud-client, enumer-iam e tcloud-python-test, estavam listados como dependências de um projeto no GitHub relativamente popular chamado accesskey_tools, que foi bifurcado (forked) 42 vezes e recebeu estrelas (starred) 519 vezes.
Um commit de código-fonte referenciando o tcloud-python-test foi feito em 8 de novembro de 2023, indicando que o pacote estava disponível para download no PyPI desde então.
O pacote foi baixado 793 vezes até a data, conforme estatísticas da pepy.tech.
A divulgação acontece ao mesmo tempo que a Fortinet FortiGuard Labs disse ter descoberto milhares de pacotes no PyPI e no npm, alguns dos quais foram encontrados incorporando scripts de instalação suspeitos projetados para implantar código malicioso durante a instalação ou se comunicar com servidores externos.
"URLs suspeitas são um indicador chave de pacotes potencialmente maliciosos, pois são frequentemente usadas para baixar payloads adicionais ou estabelecer comunicação com servidores de comando e controle (C&C), dando aos atacantes controle sobre os sistemas infectados", disse Jenna Wang.
Em 974 pacotes, tais URLs estão vinculadas ao risco de exfiltração de dados, downloads adicionais de malware e outras ações maliciosas.
É crucial examinar e monitorar URLs externas em dependências de pacotes para prevenir a exploração.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...