Malware BlazeStealer Descoberto em Pacotes Python no PyPI
9 de Novembro de 2023

Um novo conjunto de pacotes Python maliciosos se infiltrou no repositório do Python Package Index (PyPI) com o objetivo final de roubar informações sensíveis dos sistemas comprometidos do desenvolvedor.

Os pacotes se disfarçam de ferramentas de ofuscação aparentemente inofensivas, mas abrigam um malware chamado BlazeStealer, disse Checkmarx em um relatório compartilhado com The Hacker News.

"[BlazeStealer] recupera um script malicioso adicional de uma fonte externa, habilitando um bot do Discord que dá aos atacantes controle total sobre o computador da vítima", disse o pesquisador de segurança Yehuda Gelb.

A campanha, que começou em Janeiro de 2023, envolve um total de oito pacotes chamados Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse e pyobfgood, sendo este último publicado em outubro.

Esses módulos vêm com arquivos setup.py e init.py que são projetados para recuperar um script Python hospedado em transfer[.]sh, que é executado imediatamente após a instalação.

Chamado de BlazeStealer, o malware executa um bot do Discord e permite que o ator de ameaças colete uma ampla gama de informações, incluindo senhas de navegadores da web e screenshots, execute comandos arbitrários, criptografe arquivos e desative o Microsoft Defender Antivirus no host infectado.

Além disso, pode tornar o computador inutilizável ao aumentar o uso de CPU, inserir um script Windows Batch no diretório de inicialização para desligar a máquina e até forçar um erro de tela azul da morte (BSoD).

"Faz sentido que os desenvolvedores envolvidos na ofuscação de código provavelmente lidam com informações valiosas e sensíveis e, portanto, para um hacker, isso se traduz em um alvo que vale a pena perseguir", observou Gelb.

A maioria dos downloads associados aos pacotes inimigos veio dos EUA, seguida de China, Rússia, Irlanda, Hong Kong, Croácia, França e Espanha.

Eles foram coletivamente baixados 2.438 vezes antes de serem descartados.
"O domínio de código aberto continua sendo um terreno fértil para inovação, mas exige cautela", disse Gelb.

"Os desenvolvedores devem permanecer vigilantes e verificar os pacotes antes do consumo."

O desenvolvimento ocorre após a empresa de segurança da cadeia de suprimentos de software Phylum descobrir uma coleção de módulos npm com temas de criptografia - puma-com, erc20-testenv, blockledger, cryptotransact e chainflow - com capacidades de entregar secretamente um malware de próximo estágio.

Nos últimos anos, os repositórios de código aberto surgiram como uma maneira lucrativa para os atores de ameaças disseminarem malware.

Segundo o Relatório de Evolução da Segurança da Cadeia de Suprimentos de Software da Phylum para o terceiro trimestre de 2023, 13.708 pacotes em vários ecossistemas foram encontrados para executar código suspeito durante a instalação.

"No último mês, a empresa afirmou que 1.481 pacotes baixaram e executaram código de uma fonte remota de forma clandestina.

Adicionalmente, 10.201 pacotes referenciaram URLs maliciosas e 2.598 pacotes escritos errados foram identificados."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...