Pesquisadores de cibersegurança descobriram um pacote Python malicioso carregado no repositório Python Package Index (PyPI) projetado para entregar um ladrão de informações chamado Lumma (também conhecido como LummaC2).
O pacote em questão é crytic-compilers, uma versão typo-squatting de uma biblioteca legítima chamada crytic-compile.
O pacote ilegítimo foi baixado 441 vezes antes de ser retirado pelos mantenedores do PyPI.
"A biblioteca falsificada é interessante pelo fato de que, além de ser nomeada após a utilidade Python legítima, 'crytic-compile', ela alinha seus números de versão com a biblioteca real", disse Ax Sharma, pesquisador de segurança da Sonatype.
Enquanto a última versão da biblioteca real para em 0.3.7, a versão falsificada 'crytic-compilers' começa bem aqui e termina em 0.3.11 — dando a impressão de que esta é uma versão mais nova do componente.
Numa tentativa adicional de manter a farsa, algumas versões de crytic-compilers (por exemplo, 0.3.9) foram encontradas instalando o pacote real por meio de uma modificação no script setup.py.
A versão mais recente, no entanto, abandona toda a pretensão de uma biblioteca benigna ao determinar se o sistema operacional é o Windows, e, se for, lança um executável ("s.exe"), que, por sua vez, é desenhado para buscar payloads adicionais, incluindo o Lumma Stealer.
Um ladrão de informações disponível para outros atores criminosos sob um modelo de malware-as-a-service (MaaS), Lumma tem sido distribuído através de métodos diversos, como software trojanizado, malvertising e até falsas atualizações de navegador.
A descoberta "demonstra que atores de ameaças experientes agora estão visando desenvolvedores Python e abusando de registros open-source como o PyPI como um canal de distribuição para seu potente arsenal de roubo de dados", disse Sharma.
Campanhas de Atualização Falsa de Navegador Visam Centenas de Sites WordPress
O desenvolvimento vem à medida que a Sucuri revelou que mais de 300 sites WordPress foram comprometidos com pop-ups maliciosos de atualização do Google Chrome que redirecionam os visitantes do site para instaladores MSIX falsos que levam à implantação de ladrões de informações e trojans de acesso remoto.
As cadeias de ataque envolvem os atores de ameaças ganhando acesso não autorizado à interface de administração do WordPress e instalando um plugin WordPress legítimo chamado Hustle – Email Marketing, Lead Generation, Optins, Popups para carregar o código responsável por exibir os pop-ups falsos de atualização do navegador.
"Esta campanha sublinha uma tendência crescente entre hackers de aproveitar plugins legítimos para fins maliciosos", disse a pesquisadora de segurança Puja Srivastava.
Ao fazer isso, eles podem evadir a detecção por scanners de arquivos, já que a maioria dos plugins armazena seus dados dentro do banco de dados do WordPress.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...