Pesquisadores de segurança cibernética descobriram dois pacotes maliciosos no repositório Python Package Index (PyPI) que foram encontrados usando uma técnica chamada DLL side-loading para burlar a detecção de software de segurança e executar código malicioso.
Os pacotes, chamados de NP6HelperHttptest e NP6HelperHttper, foram baixados 537 e 166 vezes, respectivamente, antes de serem retirados.
"A última descoberta é um exemplo de DLL sideloading executado por um pacote de código aberto que sugere que o escopo das ameaças à cadeia de suprimentos de software está se expandindo", disse o pesquisador da ReversingLabs, Petar Kirhmajer, em um relatório compartilhado com o The Hacker News.
O nome NP6 é notável pois refere-se a uma solução legítima de automação de marketing feita pela ChapsVision.
Em particular, os pacotes falsos são Typosquats de NP6HelperHttp e NP6HelperConfig, que são ferramentas auxiliares publicadas por um dos funcionários da ChapsVision no PyPI.
Em outras palavras, o objetivo é enganar desenvolvedores que procuram por NP6HelperHttp e NP6HelperConfig para fazer o download de suas contrapartes desonestas.
Contidos nas duas bibliotecas há um script de instalação designado para baixar dois arquivos, um executável real da Kingsoft Corporation de Pequim ("ComServer.exe") que é vulnerável ao DLL side-loading e o DLL malicioso a ser efetuado o side-load ("dgdeskband64.dll").
Ao fazer o side-loading do DLL, o objetivo é evitar a detecção do código malicioso, como observado anteriormente no caso de um pacote npm chamado aabquerys que também usou a mesma técnica para executar um código capaz de implantar um trojan de acesso remoto.
O DLL, por sua vez, se conecta a um domínio controlado pelo atacante ("us.archive-ubuntu[.]top") para buscar um arquivo GIF que, na realidade, é um pedaço de shellcode para um Cobalt Strike Beacon, um kit de ferramentas de pós-exploração usado para red teaming.
Há evidências para sugerir que os pacotes fazem parte de uma campanha mais ampla que envolve a distribuição de executáveis similares que são suscetíveis ao DLL side-loading.
"As organizações de desenvolvimento precisam estar cientes das ameaças relacionadas à segurança da cadeia de suprimentos e aos repositórios de pacotes de código aberto", disse o pesquisador de segurança Karlo Zanki.
"Mesmo que não estejam usando repositórios de pacotes de código aberto, isso não significa que os atores de ameaças não irão abusá-los para se passar por empresas e seus produtos e ferramentas de software."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...