Novos Pacotes Maliciosos PyPI Capturados Usando Táticas Secretas de Carregamento Lateral
21 de Fevereiro de 2024

Pesquisadores de segurança cibernética descobriram dois pacotes maliciosos no repositório Python Package Index (PyPI) que foram encontrados usando uma técnica chamada DLL side-loading para burlar a detecção de software de segurança e executar código malicioso.

Os pacotes, chamados de NP6HelperHttptest e NP6HelperHttper, foram baixados 537 e 166 vezes, respectivamente, antes de serem retirados.

"A última descoberta é um exemplo de DLL sideloading executado por um pacote de código aberto que sugere que o escopo das ameaças à cadeia de suprimentos de software está se expandindo", disse o pesquisador da ReversingLabs, Petar Kirhmajer, em um relatório compartilhado com o The Hacker News.

O nome NP6 é notável pois refere-se a uma solução legítima de automação de marketing feita pela ChapsVision.

Em particular, os pacotes falsos são Typosquats de NP6HelperHttp e NP6HelperConfig, que são ferramentas auxiliares publicadas por um dos funcionários da ChapsVision no PyPI.

Em outras palavras, o objetivo é enganar desenvolvedores que procuram por NP6HelperHttp e NP6HelperConfig para fazer o download de suas contrapartes desonestas.

Contidos nas duas bibliotecas há um script de instalação designado para baixar dois arquivos, um executável real da Kingsoft Corporation de Pequim ("ComServer.exe") que é vulnerável ao DLL side-loading e o DLL malicioso a ser efetuado o side-load ("dgdeskband64.dll").

Ao fazer o side-loading do DLL, o objetivo é evitar a detecção do código malicioso, como observado anteriormente no caso de um pacote npm chamado aabquerys que também usou a mesma técnica para executar um código capaz de implantar um trojan de acesso remoto.

O DLL, por sua vez, se conecta a um domínio controlado pelo atacante ("us.archive-ubuntu[.]top") para buscar um arquivo GIF que, na realidade, é um pedaço de shellcode para um Cobalt Strike Beacon, um kit de ferramentas de pós-exploração usado para red teaming.

Há evidências para sugerir que os pacotes fazem parte de uma campanha mais ampla que envolve a distribuição de executáveis similares que são suscetíveis ao DLL side-loading.

"As organizações de desenvolvimento precisam estar cientes das ameaças relacionadas à segurança da cadeia de suprimentos e aos repositórios de pacotes de código aberto", disse o pesquisador de segurança Karlo Zanki.

"Mesmo que não estejam usando repositórios de pacotes de código aberto, isso não significa que os atores de ameaças não irão abusá-los para se passar por empresas e seus produtos e ferramentas de software."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...