Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) capaz de colher informações sensíveis relacionadas a desenvolvedores, como credenciais, dados de configuração e variáveis de ambiente, entre outros.
O pacote, denominado chimera-sandbox-extensions, atraiu 143 downloads e provavelmente tinha como alvo usuários de um serviço chamado Chimera Sandbox, que foi lançado pela empresa de tecnologia de Singapura Grab no último agosto para facilitar "experimentação e desenvolvimento de soluções [de aprendizado de máquina]."
O pacote se disfarça como um módulo auxiliar para Chimera Sandbox, mas "visa roubar credenciais e outras informações sensíveis, como configuração do Jamf, variáveis de ambiente CI/CD, tokens da AWS e mais", disse o pesquisador de segurança da JFrog, Guy Korolevski, em um relatório publicado na semana passada.
Uma vez instalado, ele tenta se conectar a um domínio externo cujo nome de domínio é gerado usando um algoritmo de geração de domínio (DGA) para baixar e executar uma próxima fase do payload.
Especificamente, o malware adquire do domínio um token de autenticação, que é então usado para enviar uma solicitação ao mesmo domínio e recuperar o ladrão de informações baseado em Python.
O ladrão está equipado para sugar uma ampla gama de dados de máquinas infectadas.
Isso inclui:
- Recibos JAMF, que são registros de pacotes de software instalados pelo Jamf Pro em computadores gerenciados
- Tokens de autenticação de ambiente sandbox do Pod e informações git
- Informações CI/CD de variáveis de ambiente
- Configuração de host da Zscaler
- Informações de conta e tokens da Amazon Web Services
- Endereço IP público
- Informações gerais sobre plataforma, usuário e host
O tipo de dados coletados pelo malware mostra que ele é principalmente voltado para infraestrutura corporativa e de nuvem.
Além disso, a extração de recibos JAMF indica que ele também é capaz de mirar em sistemas Apple macOS.
As informações coletadas são enviadas via uma solicitação POST de volta ao mesmo domínio, após o que o servidor avalia se a máquina é um alvo valioso para exploração adicional.
No entanto, a JFrog disse que não foi capaz de obter o payload no momento da análise.
"A abordagem direcionada empregada por este malware, juntamente com a complexidade de seu payload direcionado multi-estágio, o distingue das mais genéricas ameaças de malware open-source que encontramos até agora, destacando os avanços que os pacotes maliciosos têm feito recentemente", disse Jonathan Sar Shalom, diretor de pesquisa de ameaças na equipe de Pesquisa de Segurança da JFrog.
Esta nova sofisticação do malware sublinha por que as equipes de desenvolvimento permanecem vigilantes com atualizações — ao lado de pesquisa de segurança proativa — para defender contra ameaças emergentes e manter a integridade do software.
A revelação vem ao mesmo tempo que SafeDep e Veracode detalharam uma série de pacotes npm contaminados com malware projetados para executar código remoto e baixar payloads adicionais.
Os pacotes em questão estão listados abaixo:
- eslint-config-airbnb-compat (676 Downloads)
- ts-runtime-compat-check (1.588 Downloads)
- solders (983 Downloads)
- @mediawave/lib (386 Downloads)
Todos os pacotes npm identificados já foram retirados do npm, mas não antes de terem sido baixados centenas de vezes do registro de pacotes.
A análise do SafeDep sobre o eslint-config-airbnb-compat encontrou que a biblioteca JavaScript tem ts-runtime-compat-check listado como uma dependência, que, por sua vez, entra em contato com um servidor externo definido no pacote anterior ("proxy.eslint-proxy[.]site") para recuperar e executar uma string codificada em Base64.
A natureza exata do payload é desconhecida.
"Ele implementa um ataque de execução de código remoto multi-estágio usando uma dependência transitiva para esconder o código malicioso", disse o pesquisador do SafeDep, Kunal Singh.
Solders, por outro lado, foi encontrado incorporando um script de pós-instalação em seu package.json, fazendo com que o código malicioso fosse automaticamente executado assim que o pacote fosse instalado.
"À primeira vista, é difícil acreditar que isso seja realmente JavaScript válido", disse a equipe de Pesquisa de Ameaças da Veracode.
Parece uma coleção aparentemente aleatória de símbolos japoneses.
Acontece que esse esquema de ofuscação específico usa os caracteres Unicode como nomes de variáveis e uma cadeia sofisticada de geração de código dinâmico para funcionar.
A decodificação do script revela uma camada extra de ofuscação, cujo desempacotamento revela sua função principal: Verificar se a máquina comprometida é Windows e, se for, executar um comando PowerShell para recuperar um payload de próxima fase de um servidor remoto ("firewall[.]tel").
Este script PowerShell de segunda fase, também obscurecido, é projetado para buscar um script de lote do Windows de outro domínio ("cdn.audiowave[.]org") e configura uma lista de exclusão do Windows Defender Antivirus para evitar detecção.
O script de lote então pavimenta o caminho para a execução de um .NET DLL que alcança uma imagem PNG hospedada no ImgBB ("i.ibb[.]co").
"[O DLL] está pegando os dois últimos pixels desta imagem e então percorrendo alguns dados contidos em outro lugar nela", disse a Veracode.
"Ele finalmente constrói na memória OUTRO .NET DLL."
Além disso, o DLL está equipado para criar entradas de agendador de tarefas e possui a capacidade de contornar o controle de conta de usuário (UAC) usando uma combinação de FodHelper.exe e identificadores programáticos (ProgIDs) para evadir defesas e evitar acionar qualquer alerta de segurança ao usuário.
O DLL recém-baixado é o Pulsar RAT, uma "ferramenta de administração remota de código aberto e gratuita para Windows" e uma variante do malware Quasar RAT.
"De uma parede de caracteres japoneses para um RAT escondido nos pixels de um arquivo PNG, o atacante foi a extraordinários comprimentos para ocultar seu payload, aninhando-o a uma dúzia de camadas para evitar detecção," disse a Veracode.
"Enquanto o objetivo final do atacante para implantar o Pulsar RAT permanece incerto, a mera complexidade desse mecanismo de entrega é um poderoso indicador de intenção maliciosa."
Malware Crypto na Cadeia de Suprimentos de Código Aberto.
Os achados também coincidem com um relatório da Socket que identificou roubadores de credenciais, drenadores de criptomoedas, cryptojackers e clippers como os principais tipos de ameaças direcionadas ao ecossistema de desenvolvimento de criptomoedas e blockchain.
Alguns exemplos desses pacotes incluem:
- express-dompurify e pumptoolforvolumeandcomment, que são capazes de colher credenciais de navegador e chaves de carteira de criptomoedas
- bs58js, que esvazia a carteira da vítima e usa transferências multi-hop para obscurecer o roubo e frustrar rastreamentos forenses.
- lsjglsjdv, asyncaiosignal e raydium-sdk-liquidity-init, que funcionam como clippers para monitorar a área de transferência do sistema por strings de carteira de criptomoedas e substituí-las por endereços controlados pelo ator de ameaça para redirecionar transações para os atacantes
"À medida que o desenvolvimento Web3 converge com a engenharia de software mainstream, a superfície de ataque para projetos focados em blockchain está expandindo em escala e complexidade", disse o pesquisador de segurança da Socket, Kirill Boychenko.
"Atuadores de ameaças motivados financeiramente e grupos patrocinados pelo estado estão evoluindo rapidamente suas táticas para explorar fraquezas sistêmicas na cadeia de suprimentos de software.
Essas campanhas são iterativas, persistentes e cada vez mais adaptadas a alvos de alto valor."
IA e Slopsquatting.
O surgimento da codificação assistida por inteligência artificial (IA), também chamada de vibe coding, desencadeou outra ameaça inovadora na forma de slopsquatting, onde modelos de linguagem de grande porte (LLMs) podem alucinar nomes de pacotes plausíveis, mas inexistentes, que atores mal-intencionados podem armamentizar para conduzir ataques à cadeia de suprimentos.
A Trend Micro, em um relatório na semana passada, disse que observou um agente avançado "confiante" criando um pacote Python fantasma nomeado starlette-reverse-proxy, apenas para o processo de construção falhar com o erro "módulo não encontrado".
No entanto, caso um adversário carregue um pacote com o mesmo nome no repositório, isso pode ter graves consequências de segurança.
Além disso, a empresa de cibersegurança observou que agentes avançados de codificação e fluxos de trabalho, como Claude Code CLI, OpenAI Codex CLI e Cursor AI com Model Context Protocol (MCP)-backed validation, podem ajudar a reduzir, mas não eliminar completamente, o risco de slopsquatting.
"Quando agentes alucinam dependências ou instalam pacotes não verificados, eles criam uma oportunidade para ataques de slopsquatting, em que atores maliciosos pré-registram esses mesmos nomes alucinados em registros públicos", disse o pesquisador de segurança Sean Park.
"Enquanto agentes com raciocínio aprimorado podem reduzir a taxa de sugestões fantasmas em aproximadamente metade, eles não as eliminam inteiramente.
Mesmo o fluxo de trabalho de codificação com vibração, aumentado com validações MCP ao vivo, alcança as menores taxas de passagem, mas ainda perde casos de borda."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...