Pacote falso do VMware vConnector no PyPI tem como alvo profissionais de TI
7 de Agosto de 2023

Um pacote malicioso que imita o módulo conector VMware vSphere chamado 'vConnector' foi carregado no Índice de Pacotes Python (PyPI) sob o nome 'VMConnect', visando profissionais de TI.

VMware vSphere é uma suíte de ferramentas de virtualização e vConnector é um módulo Python de interface usado por desenvolvedores e administradores de sistema, baixado aproximadamente 40.000 vezes por mês através do PyPI.

De acordo com o pesquisador da Sonatype e o repórter do BleepingComputer, Ax Sharma, o pacote malicioso carregado no PyPI em 28 de julho de 2023 obteve 237 downloads até sua remoção em 1 de agosto de 2023.

A investigação da Sonatype revelou mais dois pacotes com código idêntico ao 'VMConnect', nomeadamente 'ethter' e 'quantiumbase', baixados 253 e 216 vezes, respectivamente.

O pacote 'ethter' imita o pacote legítimo 'eth-tester', que tem mais de 70.000 downloads mensais, enquanto 'quantiumbase' é um clone do pacote 'databases', que é baixado 360.000 vezes por mês.

Todos os três pacotes maliciosos apresentavam a funcionalidade dos projetos que imitavam, o que poderia enganar as vítimas fazendo-as acreditar que estavam executando ferramentas legítimas e prolongar a duração de uma infecção.

Sinais de intenção maliciosa no código do pacote são evidentes no arquivo 'init.py' que contém uma string codificada em base-64 que é decodificada e executada em um processo separado, rodando a cada minuto para recuperar dados de uma URL controlada pelo invasor e executá-lo na máquina comprometida.

A URL que esses pacotes acessam um arquivo paperpin3902 em um determinado domínio (em algumas versões, a variação envolve outro domínio).

Apesar do link parecer um arquivo de imagem, ele serve código em texto plano.

Ankita Lamba da Sonatype, que liderou a análise do pacote, não conseguiu recuperar o payload de segunda fase, pois ela havia sido removida da fonte externa no momento da investigação.

No entanto, um pacote que secretamente contata uma URL externa, obscura para recuperar e executar um payload no host é geralmente suficiente para deduzir que se trata de uma operação de alto risco, mesmo se os detalhes específicos são desconhecidos.

Não é improvável que os invasores sirvam comandos apenas em hosts infectados que parecem ser de grande interesse ou que usem um mecanismo de filtragem IP para excluir analistas.

Para dar o benefício da dúvida ao autor dos pacotes, registrado como "hushki502" no PyPI e GitHub, a Sonatype entrou em contato com o desenvolvedor, mas não recebeu resposta.

A ReversingLabs detectou a mesma campanha e também publicou um relatório sobre ela, enquanto sua investigação sobre o ator da ameaça, payload de segunda fase e objetivo final dos invasores foi igualmente inconclusiva.

Como nota final de precaução, é importante destacar que as descrições que o autor dos pacotes falsos usou no PyPI eram precisas e pareciam realistas, e até criaram repositórios GitHub com nomes correspondentes.

Dito isto, os desenvolvedores apenas poderiam ter descoberto a atividade ilícita se tivessem notado a breve história dos projetos, contagens baixas de download, código escondido dentro de alguns arquivos, e nomes de pacotes que se assemelham, mas não correspondem exatamente aos dos projetos legítimos.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...