Um pacote malicioso que imita o módulo conector VMware vSphere chamado 'vConnector' foi carregado no Índice de Pacotes Python (PyPI) sob o nome 'VMConnect', visando profissionais de TI.
VMware vSphere é uma suíte de ferramentas de virtualização e vConnector é um módulo Python de interface usado por desenvolvedores e administradores de sistema, baixado aproximadamente 40.000 vezes por mês através do PyPI.
De acordo com o pesquisador da Sonatype e o repórter do BleepingComputer, Ax Sharma, o pacote malicioso carregado no PyPI em 28 de julho de 2023 obteve 237 downloads até sua remoção em 1 de agosto de 2023.
A investigação da Sonatype revelou mais dois pacotes com código idêntico ao 'VMConnect', nomeadamente 'ethter' e 'quantiumbase', baixados 253 e 216 vezes, respectivamente.
O pacote 'ethter' imita o pacote legítimo 'eth-tester', que tem mais de 70.000 downloads mensais, enquanto 'quantiumbase' é um clone do pacote 'databases', que é baixado 360.000 vezes por mês.
Todos os três pacotes maliciosos apresentavam a funcionalidade dos projetos que imitavam, o que poderia enganar as vítimas fazendo-as acreditar que estavam executando ferramentas legítimas e prolongar a duração de uma infecção.
Sinais de intenção maliciosa no código do pacote são evidentes no arquivo 'init.py' que contém uma string codificada em base-64 que é decodificada e executada em um processo separado, rodando a cada minuto para recuperar dados de uma URL controlada pelo invasor e executá-lo na máquina comprometida.
A URL que esses pacotes acessam um arquivo paperpin3902 em um determinado domínio (em algumas versões, a variação envolve outro domínio).
Apesar do link parecer um arquivo de imagem, ele serve código em texto plano.
Ankita Lamba da Sonatype, que liderou a análise do pacote, não conseguiu recuperar o payload de segunda fase, pois ela havia sido removida da fonte externa no momento da investigação.
No entanto, um pacote que secretamente contata uma URL externa, obscura para recuperar e executar um payload no host é geralmente suficiente para deduzir que se trata de uma operação de alto risco, mesmo se os detalhes específicos são desconhecidos.
Não é improvável que os invasores sirvam comandos apenas em hosts infectados que parecem ser de grande interesse ou que usem um mecanismo de filtragem IP para excluir analistas.
Para dar o benefício da dúvida ao autor dos pacotes, registrado como "hushki502" no PyPI e GitHub, a Sonatype entrou em contato com o desenvolvedor, mas não recebeu resposta.
A ReversingLabs detectou a mesma campanha e também publicou um relatório sobre ela, enquanto sua investigação sobre o ator da ameaça, payload de segunda fase e objetivo final dos invasores foi igualmente inconclusiva.
Como nota final de precaução, é importante destacar que as descrições que o autor dos pacotes falsos usou no PyPI eram precisas e pareciam realistas, e até criaram repositórios GitHub com nomes correspondentes.
Dito isto, os desenvolvedores apenas poderiam ter descoberto a atividade ilícita se tivessem notado a breve história dos projetos, contagens baixas de download, código escondido dentro de alguns arquivos, e nomes de pacotes que se assemelham, mas não correspondem exatamente aos dos projetos legítimos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...