Os repositórios oficiais de linguagens de programação ainda estão sendo alvo de ataques de phishing, nos quais os atacantes simulam a aparência e recursos de softwares legítimos para distribuir vírus.
Desta vez, o PyPI, que fornece soluções para Python, está sendo utilizado para disseminar uma edição maliciosa de kits de ferramentas conhecidos, agora voltados para o roubo de dados de desenvolvedores e empresas.
Na campanha, os criminosos tentam se passar pelos desenvolvedores do aiotools, que reúne diferentes recursos e utilitários para programadores.
Com um nome semelhante, aiotoolsbox, eles entregam as funcionalidades desejadas, mas acompanhadas de um malware voltado para o roubo de informações pessoais, como segredos de acesso a sistemas ou credenciais.
A operação chamou a atenção dos especialistas da Check Point Research, que divulgaram o alerta, pois a cópia da solução é completa, enquanto a maioria dos golpes desse tipo se limita a utilizar apenas nomes e outras informações oficiais.
A conta usada pelos criminosos foi criada originalmente em 2019, com os pacotes maliciosos sendo publicados apenas agora, o que indica que este era um perfil legítimo que foi comprometido pelos bandidos.
Outros métodos de ocultamento das atividades maliciosas também são usados, como a hospedagem de malwares baixados paralelamente em servidores que também tentam simular serviços oficiais para a linguagem Python.
Códigos ofuscados também estão presentes na solução para dificultar sua detecção por análises manuais e automáticas, enquanto os fragmentos usados para instalação da praga são apagados após a conclusão da infecção, deixando menos rastros.
A equipe da Check Point também encontrou um segundo pacote, publicado por outro perfil, mas aparentemente ligado à campanha.
A solução async-proxy, voltada para sincronização de dados, não tenta simular ferramentas legítimas, mas baixa a edição maliciosa do aiotools, contaminando os usuários interessados nela e os expondo à mesma operação de roubo de dados de desenvolvimento.
De acordo com os pesquisadores, os pacotes maliciosos também receberam múltiplas atualizações, com modificações em arquivos de configuração e estruturas.
Mudou também o IP de origem das conexões, inicialmente russo e depois alemão, também uma forma de ocultar as atividades.
Por conta disso, a recomendação é ter cautela no download de pacotes no PyPI e outros repositórios de código.
O ideal é buscar perfis de desenvolvedores conhecidos e legítimos, que prestem suporte constante e tenham avaliações e comentários de outros usuários.
Evitar contas novas ou com poucas publicações, por exemplo, ajuda a manter a segurança na produção de software.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...