Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) que introduz comportamento malicioso por meio de uma dependência que permite estabelecer persistência e realizar execução de código.
O pacote, chamado termncolor, realiza sua funcionalidade nefasta por meio de um pacote de dependência chamado colorinal por meio de uma operação de malware em múltiplos estágios, disse o Zscaler ThreatLabz.
Enquanto termncolor foi baixado 355 vezes, colorinal atraiu 529 downloads.
Ambas as bibliotecas não estão mais disponíveis no PyPI.
"Esse ataque poderia aproveitar o DLL side-loading para facilitar a descriptografia, estabelecer persistência e conduzir comunicação de comando e controle (C2), terminando em execução de código remoto", segundo os pesquisadores Manisha Ramcharan Prajapati e Satyam Singh.
Uma vez instalado e executado, termncolor é projetado para importar colorinal, que, por sua vez, carrega uma *DLL* maliciosa responsável por descriptografar e executar o payload útil da próxima etapa.
Especificamente, o payload útil implanta um binário legítimo "vcpktsvr.exe" e uma *DLL* chamada "libcef.dll" que é lançada usando DLL side-loading.
A DLL, por sua vez, é capaz de coletar informações do sistema e se comunicar com o servidor C2 usando Zulip, um aplicativo de chat de código aberto, para ocultar a atividade.
"A persistência é alcançada criando uma entrada de registro sob a chave Run do Windows para garantir a execução automática do malware na inicialização do sistema", disse Zscaler.
O malware também é capaz de infectar sistemas Linux, com as bibliotecas Python soltando um arquivo objeto compartilhado chamado "terminate.so" para liberar a mesma funcionalidade.
Uma análise mais aprofundada da atividade do ator de ameaças no Zulip revelou três usuários ativos dentro da organização criada, com um total de 90.692 mensagens trocadas dentro da plataforma.
Acredita-se que o autor do malware esteja ativo desde 10 de julho de 2025.
"O pacote termncolor e sua dependência maliciosa colorinal destacam a importância de monitorar os ecossistemas de código aberto para ataques potenciais à cadeia de suprimentos", disse a empresa.
A divulgação ocorre no momento em que a SlowMist revelou que atores de ameaças estão visando desenvolvedores sob o pretexto de uma avaliação de emprego para enganá-los a clonar um repositório GitHub contendo um pacote npm armadilhado capaz de coletar dados do iCloud Keychain, navegador web, e carteira de criptomoedas, e exfiltrar os detalhes para um servidor externo.
Os pacotes npm também são projetados para baixar e executar scripts Python, capturar informações do sistema, escanear o sistema de arquivos em busca de arquivos sensíveis, roubar credenciais, registrar teclas digitadas, tirar capturas de tela e monitorar o conteúdo da área de transferência.
A lista de pacotes identificados, agora removidos do npm, está abaixo:
- redux-ace (163 Downloads)
- rtk-logger (394 Downloads)
Nos últimos meses, pacotes npm maliciosos foram avistados visando a comunidade de cibersegurança para facilitar o roubo de dados e mineração de criptomoedas por meio de um pacote dependente, usando serviços legítimos como Dropbox para exfiltrar as informações de sistemas infectados.
Esses pacotes, notaram os pesquisadores da Datadog Christophe Tafani-Dereeper e Matt Muir, são distribuídos para alvos sob o disfarce de código de prova de conceito (PoC) malicioso para falhas de segurança, ou um patch de kernel que supostamente oferece melhorias de desempenho.
A atividade foi atribuída a um ator de ameaças que ele rastreia como MUT-1244.
O desenvolvimento também segue um relatório da ReversingLabs que revelou os riscos associados a upgrades de dependência automatizados, especialmente quando um projeto comprometido é usado por milhares de outros projetos, amplificando riscos para a cadeia de suprimentos de software.
Isso é exemplificado pelo recente comprometimento do pacote npm eslint-config-prettier por meio de um ataque de phishing que permitiu a atacantes não identificados empurrar versões envenenadas diretamente para o registro npm sem quaisquer commits de código-fonte ou pull requests em seu correspondente repositório GitHub.
A empresa de segurança da cadeia de suprimentos de software descobriu que mais de 14.000 pacotes declararam eslint-config-prettier como uma dependência direta, em vez de declará-lo como uma devDependency, fazendo com que ações automatizadas como GitHub Actions mesclassem automaticamente os alertas de atualização de dependência emitidos pelo Dependabot sem examiná-los.
"Como se trata de uma configuração para uma ferramenta de desenvolvimento usada para formatação de código, pode-se esperar que seja declarada como uma devDependency em pacotes nos quais é usada, e, como tal, não deveria ser instalada automaticamente quando o comando npm install é executado, como com dependências regulares", disse o pesquisador de segurança Karlo Zanki.
Ferramentas automáticas de gerenciamento de versão como o Dependabot são projetadas para remover o risco de ter dependências com problemas de segurança em sua base de código, mas [...] ironicamente podem acabar introduzindo problemas de segurança ainda maiores como comprometimento malicioso.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...