Um pacote adormecido disponível no repositório Python Package Index (PyPI) foi atualizado quase após dois anos para propagar um malware ladrão de informações chamado Nova Sentinel.
O pacote, chamado django-log-tracker, foi publicado pela primeira vez no PyPI em abril de 2022, de acordo com a empresa de segurança de cadeia de suprimentos de software Phylum, que detectou uma atualização anômala na biblioteca em 21 de fevereiro de 2024.
Embora o repositório GitHub vinculado não tenha sido atualizado desde 10 de abril de 2022, a introdução de uma atualização maliciosa sugere um provável comprometimento da conta PyPI pertencente ao desenvolvedor.
O Django-log-tracker foi baixado 3.866 vezes até o momento, com a versão desonesta (1.0.4) baixada 107 vezes no dia em que foi publicada.
O pacote não está mais disponível para download do PyPI.
"Na atualização maliciosa, o invasor retirou a maior parte do conteúdo original do pacote, deixando apenas um arquivo __init__.py e example.py", disse a empresa.
As mudanças, simples e autoexplicativas, envolvem a obtenção de um executável chamado "Updater_1.4.4_x64.exe" de um servidor remoto ("45.88.180[.]54"), seguido por seu lançamento usando a função os.startfile() do Python.
O binário, por sua vez, vem embutido com o Nova Sentinel, um malware ladrão que foi documentado pela primeira vez pela Sekoia em novembro de 2023 como sendo distribuído na forma de falsos aplicativos Electron em sites falsificados oferecendo downloads de jogos de vídeo.
"O que é interessante nesse caso particular [...] é que o vetor de ataque parecia ser uma tentativa de ataque à cadeia de suprimentos via uma conta PyPI comprometida", disse Phylum.
"Se este tivesse sido um pacote realmente popular, qualquer projeto com este pacote listado como dependência, sem uma versão especificada ou uma versão flexível especificada em seu arquivo de dependência, teria puxado a última, versão maliciosa deste pacote."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...