Os administradores do repositório Python Package Index (PyPI) colocaram em quarentena o pacote "aiocpa" após uma nova atualização que incluiu código malicioso para exfiltrar chaves privadas via Telegram.
O pacote em questão é descrito como um cliente síncrono e assíncrono da Crypto Pay API.
Lançado originalmente em setembro de 2024, o pacote já foi baixado 12.100 vezes até o momento.
Ao colocar a biblioteca Python em quarentena, impede-se a instalação futura por clientes e não pode ser modificada por seus mantenedores.
A empresa de cibersegurança Phylum, que compartilhou detalhes do ataque à cadeia de suprimentos de software na semana passada, disse que o autor do pacote publicou a atualização maliciosa no PyPI, mantendo o repositório GitHub da biblioteca limpo em uma tentativa de evitar a detecção.
Atualmente, não está claro se o desenvolvedor original estava por trás da atualização desonesta ou se suas credenciais foram comprometidas por um ator de ameaça diferente.
Sinais de atividade maliciosa foram detectados pela primeira vez na versão 0.1.13 da biblioteca, que incluiu uma mudança no script Python "sync.py" projetado para decodificar e executar um bloco de código ofuscado imediatamente após a instalação do pacote.
"Esse bloco em particular é recodificado e comprimido 50 vezes," disse a Phylum, acrescentando que é usado para capturar e transmitir o token da API Crypto Pay da vítima usando um bot do Telegram.
Vale ressaltar que o Crypto Pay é anunciado como um sistema de pagamento baseado no Crypto Bot (@CryptoBot) que permite aos usuários aceitar pagamentos em cripto e transferir moedas para usuários usando a API.
O incidente é significativo, não apenas porque destaca a importância de escanear o código-fonte do pacote antes de baixá-los, em vez de apenas verificar seus repositórios associados.
Como evidenciado aqui, os atacantes podem deliberadamente manter repositórios fonte limpos enquanto distribuem pacotes maliciosos para os ecossistemas", disse a empresa, acrescentando que o ataque "serve como um lembrete de que o histórico de segurança anterior de um pacote não garante sua segurança contínua.
Atualização:
O pacote aiocpa foi formalmente removido do repositório PyPI.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...