Pesquisadores de cibersegurança descobriram pacotes maliciosos carregados no repositório Python Package Index (PyPI) que agem como ferramentas de checagem para validar endereços de e-mail roubados contra APIs do TikTok e Instagram.
Todos os três pacotes já não estão mais disponíveis no PyPI.
Os nomes dos pacotes Python são:
- checker-SaGaF (2.605 downloads)
- steinlurks (1.049 downloads)
- sinnercore (3.300 downloads)
"Verdadeiro ao seu nome, checker-SaGaF verifica se um e-mail está associado a uma conta do TikTok e uma conta do Instagram," disse a pesquisadora da Socket, Olivia Brown, em uma análise publicada na última semana.
Especificamente, o pacote é projetado para enviar requisições HTTP POST à API de recuperação de senha do TikTok e aos endpoints de login de contas do Instagram para determinar se um endereço de e-mail passado como entrada é válido, significando que existe um titular de conta correspondente a esse endereço de e-mail.
"Uma vez que os atores de ameaças têm essa informação, apenas a partir de um endereço de e-mail, eles podem ameaçar expor ou enviar spam, conduzir ataques de falsas denúncias para suspender contas, ou simplesmente confirmar contas-alvo antes de lançar um exploit de reutilização de credenciais (credential stuffing) ou pulverização de senhas (password spraying)," disse Brown.
Listas de usuários validados também são vendidas na dark web por lucro.
Pode parecer inofensivo construir dicionários de e-mails ativos, mas essa informação habilita e acelera cadeias de ataque inteiras e minimiza a detecção ao visar apenas contas validadas conhecidas.
O segundo pacote, "steinlurks", de maneira similar, visa contas do Instagram enviando requisições HTTP POST forjadas imitando o app do Instagram para Android para evitar detecção.
Ele consegue isso visando diferentes endpoints da API:
- i.instagram[.]com/api/v1/users/lookup/
- i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/accounts/check_email/
"Por outro lado, Sinnercore" visa acionar o fluxo de 'esqueci minha senha' para um dado nome de usuário, visando o endpoint da API "b.i.instagram[.]com/api/v1/accounts/send_password_reset/" com requisições HTTP falsas contendo o nome de usuário alvo.
"Há também funcionalidades visando o Telegram, nomeadamente a extração de nome, ID do usuário, bio, e status premium, assim como outros atributos," Brown explicou.
Algumas partes de sinnercore focam em utilidades cripto, como obter o preço em tempo real da Binance ou conversões de moeda.
Até mira em programadores do PyPI ao buscar informações detalhadas sobre qualquer pacote PyPI, provavelmente usado para perfis de desenvolvedores falsos ou fingir ser desenvolvedores.
A divulgação ocorre enquanto a ReversingLabs detalhou outro pacote malicioso chamado "dbgpkg" que se disfarça como uma utilidade de depuração, mas implanta um backdoor no sistema do desenvolvedor para facilitar execução de código e exfiltração de dados.
Embora o pacote não esteja mais acessível, estima-se que tenha sido baixado cerca de 350 vezes.
Curiosamente, o pacote em questão foi encontrado contendo o mesmo payload do "discordpydebug," que foi sinalizado pela Socket no início deste mês.
A ReversingLabs disse também ter identificado um terceiro pacote chamado "requestsdev" que acredita-se ser parte da mesma campanha.
Ele atraiu 76 downloads antes de ser retirado.
Análises adicionais determinaram que a técnica de backdoor usando GSocket assemelha-se à do Phoenix Hyena (também conhecido como DumpForums ou Silent Crow), um grupo hacktivista conhecido por visar entidades russas, incluindo a Doctor Web, após a guerra russo-ucraniana no início de 2022.
Embora a atribuição seja, na melhor das hipóteses, tentativa, a ReversingLabs apontou que a atividade também pode ser o trabalho de um ator de ameaça imitador.
No entanto, o uso de payloads idênticos e o fato de que o "discordpydebug" foi carregado pela primeira vez em março de 2022 fortalecem o caso de uma possível conexão com o Phoenix Hyena.
"As técnicas maliciosas usadas nesta campanha, incluindo um tipo específico de implantação de backdoor e o uso de embrulho de funções Python (Python function wrapping), mostram que o ator de ameaça por trás disso é sofisticado e muito cuidadoso para evitar detecção," disse o pesquisador de segurança Karlo Zanki.
O uso de embrulho de funções e ferramentas como o Global Socket Toolkit mostra que os atores de ameaças por trás disso também estavam procurando estabelecer uma presença de longo prazo em sistemas comprometidos sem serem notados.
As descobertas também coincidem com a descoberta de um pacote npm malicioso chamado "koishi-plugin-pinhaofa" que instala um backdoor de exfiltração de dados em chatbots alimentados pelo framework Koishi.
O pacote já não está disponível para download do npm.
"Comercializado como um auxiliar de autocorreção de ortografia, o plugin verifica cada mensagem em busca de uma string hexadecimal de oito caracteres," disse o pesquisador de segurança Kirill Boychenko.
Quando encontra uma, ele encaminha a mensagem completa, potencialmente incluindo quaisquer segredos ou credenciais embutidos, para uma conta QQ codificada de maneira fixa. Hexadecimal de oito caracteres muitas vezes representa hashes de commit do Git truncados, tokens JWT ou API, checksums CRC-32, segmentos principais de GUID ou números de série de dispositivos, cada um dos quais pode desbloquear sistemas mais amplos ou mapear ativos internos.
Ao colher a mensagem inteira, o ator de ameaça também recolhe quaisquer segredos circundantes, senhas, URLs, credenciais, tokens ou IDs.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...