Pesquisadores de cibersegurança identificaram dois pacotes maliciosos no repositório Python Package Index (PyPI) que se apresentam como ferramentas de correção ortográfica, mas escondem um Trojan de Acesso Remoto (RAT).
Os pacotes, chamados spellcheckerpy e spellcheckpy, foram removidos do repositório após terem sido baixados mais de 1.000 vezes.
Segundo Charlie Eriksen, pesquisador da Aikido, “escondido no arquivo do dicionário do idioma basco havia um payload codificado em base64, responsável por baixar um RAT completo em Python”.
O atacante lançou inicialmente três versões “dormentes” dos pacotes, que continham o payload, mas não o ativavam.
A partir da versão 1.2.0 do spellcheckpy, lançada em 21 de janeiro de 2026, um gatilho ofuscado foi incluído, ativando o malware assim que o pacote era importado.
Diferentemente de outras ameaças que usam o script "__init__.py" para ocultar código malicioso, esses pacotes inseriam o payload em um arquivo chamado "resources/eu.json.gz", baseado no dicionário legítimo do pacote pyspellchecker, focado no basco.
Embora a função parecesse inofensiva, o comportamento malicioso era acionado durante a extração do arquivo, por meio da função test_file(), que acessava um downloader codificado oculto dentro do dicionário.
Nas primeiras versões, o payload era apenas baixado e decodificado, sem ser executado — algo que mudou na versão 1.2.0.
O RAT baixado consegue identificar o sistema comprometido, analisar comandos recebidos e executá-los remotamente.
O domínio usado para distribuir o malware, "updatenet[.]work", foi registrado em outubro de 2025 e está associado a um provedor de hospedagem com histórico de facilitar operações de grupos patrocinados por estados.
Esse caso reforça um padrão anterior: em novembro de 2025, a HelixGuard detectou um pacote malicioso similar, chamado "spellcheckers", que também distribuía um RAT.
Suspeita-se que ambos os ataques sejam obra do mesmo grupo criminoso.
Paralelamente, outras ameaças têm surgido em repositórios npm com o objetivo de roubar dados e atacar carteiras de criptomoedas.
Entre os exemplos estão:
- pacotes como flockiali (versões 1.2.3 a 1.2.6), opresc (1.0.0), prndn (1.0.0), oprnm (1.0.0) e operni, que contêm scripts JavaScript para exibir páginas falsas de login Microsoft em campanhas direcionadas de spear-phishing, visando funcionários de empresas dos setores industrial e energético em países como França, Alemanha, Espanha, Emirados Árabes Unidos e Estados Unidos;
- o ansi-universal-ui (versões 1.3.5 a 1.4.1), que se apresenta como biblioteca de componentes UI, mas instala um stealer em Python chamado G_Wagon, capaz de exfiltrar credenciais de navegadores, carteiras de criptoativos, credenciais de nuvem e tokens do Discord para um bucket de armazenamento em Appwrite.
Além disso, a Aikido alerta para o risco do slopsquatting — técnica que explora agentes de inteligência artificial (IA) para gerar pacotes falsos inexistentes, que podem ser reivindicados por atacantes e facilitar a distribuição de código malicioso a usuários finais.
Um caso destacado é o pacote fictício "react-codeshift", referenciado por 237 repositórios no GitHub e criado por um modelo de linguagem em outubro de 2025.
Muitos desses repositórios orientavam agentes de IA a instalar o pacote automaticamente, sem verificar sua existência real.
Eriksen explica: “Como ele se espalhou para 237 repositórios? Por arquivos de habilidades de agentes.
Copiados, bifurcados, traduzidos para o japonês, sem uma única verificação.” Para ele, “habilidades são o novo código.
Não aparentam ser, porque são arquivos Markdown e YAML escritos de forma amigável, mas são executáveis.
Agentes de IA os seguem automaticamente, sem questionar se o pacote existe de fato.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...