Pacote falso do VMware vConnector no PyPI tem como alvo profissionais de TI
7 de Agosto de 2023

Um pacote malicioso que imita o módulo conector VMware vSphere chamado 'vConnector' foi carregado no Índice de Pacotes Python (PyPI) sob o nome 'VMConnect', visando profissionais de TI.

VMware vSphere é uma suíte de ferramentas de virtualização e vConnector é um módulo Python de interface usado por desenvolvedores e administradores de sistema, baixado aproximadamente 40.000 vezes por mês através do PyPI.

De acordo com o pesquisador da Sonatype e o repórter do BleepingComputer, Ax Sharma, o pacote malicioso carregado no PyPI em 28 de julho de 2023 obteve 237 downloads até sua remoção em 1 de agosto de 2023.

A investigação da Sonatype revelou mais dois pacotes com código idêntico ao 'VMConnect', nomeadamente 'ethter' e 'quantiumbase', baixados 253 e 216 vezes, respectivamente.

O pacote 'ethter' imita o pacote legítimo 'eth-tester', que tem mais de 70.000 downloads mensais, enquanto 'quantiumbase' é um clone do pacote 'databases', que é baixado 360.000 vezes por mês.

Todos os três pacotes maliciosos apresentavam a funcionalidade dos projetos que imitavam, o que poderia enganar as vítimas fazendo-as acreditar que estavam executando ferramentas legítimas e prolongar a duração de uma infecção.

Sinais de intenção maliciosa no código do pacote são evidentes no arquivo 'init.py' que contém uma string codificada em base-64 que é decodificada e executada em um processo separado, rodando a cada minuto para recuperar dados de uma URL controlada pelo invasor e executá-lo na máquina comprometida.

A URL que esses pacotes acessam um arquivo paperpin3902 em um determinado domínio (em algumas versões, a variação envolve outro domínio).

Apesar do link parecer um arquivo de imagem, ele serve código em texto plano.

Ankita Lamba da Sonatype, que liderou a análise do pacote, não conseguiu recuperar o payload de segunda fase, pois ela havia sido removida da fonte externa no momento da investigação.

No entanto, um pacote que secretamente contata uma URL externa, obscura para recuperar e executar um payload no host é geralmente suficiente para deduzir que se trata de uma operação de alto risco, mesmo se os detalhes específicos são desconhecidos.

Não é improvável que os invasores sirvam comandos apenas em hosts infectados que parecem ser de grande interesse ou que usem um mecanismo de filtragem IP para excluir analistas.

Para dar o benefício da dúvida ao autor dos pacotes, registrado como "hushki502" no PyPI e GitHub, a Sonatype entrou em contato com o desenvolvedor, mas não recebeu resposta.

A ReversingLabs detectou a mesma campanha e também publicou um relatório sobre ela, enquanto sua investigação sobre o ator da ameaça, payload de segunda fase e objetivo final dos invasores foi igualmente inconclusiva.

Como nota final de precaução, é importante destacar que as descrições que o autor dos pacotes falsos usou no PyPI eram precisas e pareciam realistas, e até criaram repositórios GitHub com nomes correspondentes.

Dito isto, os desenvolvedores apenas poderiam ter descoberto a atividade ilícita se tivessem notado a breve história dos projetos, contagens baixas de download, código escondido dentro de alguns arquivos, e nomes de pacotes que se assemelham, mas não correspondem exatamente aos dos projetos legítimos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...