Pacotes maliciosos para Python estão sendo utilizados novamente para roubar dados
3 de Abril de 2023

Os repositórios oficiais de linguagens de programação ainda estão sendo alvo de ataques de phishing, nos quais os atacantes simulam a aparência e recursos de softwares legítimos para distribuir vírus.

Desta vez, o PyPI, que fornece soluções para Python, está sendo utilizado para disseminar uma edição maliciosa de kits de ferramentas conhecidos, agora voltados para o roubo de dados de desenvolvedores e empresas.

Na campanha, os criminosos tentam se passar pelos desenvolvedores do aiotools, que reúne diferentes recursos e utilitários para programadores.

Com um nome semelhante, aiotoolsbox, eles entregam as funcionalidades desejadas, mas acompanhadas de um malware voltado para o roubo de informações pessoais, como segredos de acesso a sistemas ou credenciais.

A operação chamou a atenção dos especialistas da Check Point Research, que divulgaram o alerta, pois a cópia da solução é completa, enquanto a maioria dos golpes desse tipo se limita a utilizar apenas nomes e outras informações oficiais.

A conta usada pelos criminosos foi criada originalmente em 2019, com os pacotes maliciosos sendo publicados apenas agora, o que indica que este era um perfil legítimo que foi comprometido pelos bandidos.

Outros métodos de ocultamento das atividades maliciosas também são usados, como a hospedagem de malwares baixados paralelamente em servidores que também tentam simular serviços oficiais para a linguagem Python.

Códigos ofuscados também estão presentes na solução para dificultar sua detecção por análises manuais e automáticas, enquanto os fragmentos usados para instalação da praga são apagados após a conclusão da infecção, deixando menos rastros.

A equipe da Check Point também encontrou um segundo pacote, publicado por outro perfil, mas aparentemente ligado à campanha.

A solução async-proxy, voltada para sincronização de dados, não tenta simular ferramentas legítimas, mas baixa a edição maliciosa do aiotools, contaminando os usuários interessados nela e os expondo à mesma operação de roubo de dados de desenvolvimento.

De acordo com os pesquisadores, os pacotes maliciosos também receberam múltiplas atualizações, com modificações em arquivos de configuração e estruturas.

Mudou também o IP de origem das conexões, inicialmente russo e depois alemão, também uma forma de ocultar as atividades.

Por conta disso, a recomendação é ter cautela no download de pacotes no PyPI e outros repositórios de código.

O ideal é buscar perfis de desenvolvedores conhecidos e legítimos, que prestem suporte constante e tenham avaliações e comentários de outros usuários.

Evitar contas novas ou com poucas publicações, por exemplo, ajuda a manter a segurança na produção de software.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...