Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) que visa sistemas Apple macOS com o objetivo de roubar credenciais do Google Cloud de um grupo restrito de vítimas.
O pacote, denominado "lr-utils-lib", atraiu um total de 59 downloads antes de ser removido.
Ele foi carregado no registro no início de Junho de 2024.
"O malware usa uma lista de hashes predefinidos para mirar em máquinas macOS específicas e tenta colher dados de autenticação do Google Cloud", disse o pesquisador da Checkmarx, Yehuda Gelb, em um relatório de sexta-feira(26).
As credenciais colhidas são enviadas para um servidor remoto.
Um aspecto importante do pacote é que ele primeiro verifica se foi instalado em um sistema macOS, e só então procede para comparar o Identificador Único Universal (UUID) do sistema contra uma lista codificada de 64 hashes.
Se a máquina comprometida estiver entre as especificadas no conjunto predefinido, ele tenta acessar dois arquivos, nomeadamente application_default_credentials.json e credentials.db, localizados no diretório ~/.config/gcloud, que contêm dados de autenticação do Google Cloud.
As informações capturadas são então transmitidas via HTTP para um servidor remoto "europe-west2-workload-422915[.]cloudfunctions[.]net."
A Checkmarx disse que também encontrou um perfil falso no LinkedIn com o nome "Lucid Zenith" que correspondia ao proprietário do pacote e falsamente reivindicava ser o CEO da Apex Companies, sugerindo um possível elemento de engenharia social ao ataque.
Exatamente quem está por trás da campanha atualmente não é conhecido.
No entanto, isso ocorre mais de dois meses após a empresa de cibersegurança Phylum divulgar detalhes de outro ataque à cadeia de suprimentos envolvendo um pacote Python chamado "requests-darwin-lite" que também foi encontrado para desencadear suas ações maliciosas após verificar o UUID do host macOS.
Essas campanhas são um sinal de que os atores de ameaças têm conhecimento prévio dos sistemas macOS que desejam infiltrar e estão indo a grandes comprimentos para garantir que os pacotes maliciosos sejam distribuídos apenas para aquelas máquinas específicas.
Isso também fala sobre as táticas que os atores maliciosos empregam para distribuir pacotes semelhantes, visando enganar os desenvolvedores a incorporá-los em suas aplicações.
"Embora não esteja claro se este ataque visava indivíduos ou empresas, esse tipo de ataque pode impactar significativamente as empresas", disse Gelb.
Enquanto o comprometimento inicial geralmente ocorre na máquina de um desenvolvedor individual, as implicações para as empresas podem ser substanciais.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...