Sete pacotes maliciosos encontrados na PyPi utilizavam os servidores SMTP do Gmail e WebSockets para exfiltração de dados e execução de comandos remotos.
Os pacotes foram descobertos pela equipe de pesquisa de ameaças da Socket, que relatou suas descobertas ao PyPI, resultando na remoção dos pacotes.
No entanto, alguns desses pacotes estiveram no PyPI por mais de quatro anos e, com base em contadores de download de terceiros, um deles foi baixado mais de 18.000 vezes.
Aqui está a lista completa compartilhada pela Socket:
- Coffin-Codes-Pro (9.000 downloads)
- Coffin-Codes-NET2 (6.200 downloads)
- Coffin-Codes-NET (6.100 downloads)
- Coffin-Codes-2022 (18.100 downloads)
- Coffin2022 (6.500 downloads)
- Coffin-Grave (6.500 downloads)
- cfc-bsb (2.900 downloads)
Os pacotes "Coffin" parecem estar se passando pelo pacote Coffin legítimo, que funciona como um adaptador leve para integrar templates Jinja2 em projetos Django.
A funcionalidade maliciosa descoberta pela Socket nestes pacotes se concentra em acesso remoto oculto e exfiltração de dados através do Gmail.
Os pacotes usavam credenciais Gmail codificadas para fazer login no servidor SMTP do serviço (smtp.gmail.com), enviando informações de reconhecimento para permitir ao atacante acessar remotamente o sistema comprometido.
Como o Gmail é um serviço confiável, firewalls e EDRs provavelmente não vão marcar essa atividade como suspeita.
Após a fase de sinalização por email, o implante se conecta a um servidor remoto usando WebSocket sobre SSL, recebendo instruções de configuração de túnel para estabelecer um túnel bidirecional cifrado e persistente do host para o atacante.
Usando uma classe 'Client', o malware encaminha tráfego do host remoto para o sistema local através do túnel, permitindo acesso a painel de administração interno e API, transferência de arquivos, exfiltração de emails, execução de comandos shell, coleta de credenciais e movimentação lateral.
A Socket destaca fortes indicadores de intenção de roubo de criptomoedas para esses pacotes, visto nos endereços de email usados (ex.: [email protected]) e em táticas semelhantes já usadas no passado para roubar chaves privadas da Solana.
Se você instalou qualquer um desses pacotes em seu ambiente, remova-os imediatamente e rotacione chaves e credenciais conforme necessário.
Um relatório relacionado, publicado quase simultaneamente pelo pesquisador da Sonatype e repórter colaborador do BleepingComputer Ax Sharma, foca em um pacote de roubo de cripto chamado 'crypto-encrypt-ts', encontrado no npm.
O pacote se disfarça como uma versão TypeScript da popular, mas agora descontinuada, biblioteca 'CryptoJS', enquanto exfiltra segredos de carteiras de criptomoedas e variáveis de ambiente para um endpoint controlado por atores de ameaça da Better Stack.
O pacote malicioso, que persiste em sistemas infectados por meio de trabalhos cron, apenas mira carteiras com saldos que ultrapassam 1.000 unidades, tentando roubar suas chaves privadas.
O pacote foi baixado quase 2.000 vezes antes de ser reportado e removido do npm.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...