Agentes de ameaça carregaram pacotes Python maliciosos no repositório PyPI e promoveram-nos através da plataforma online de perguntas e respostas StackExchange.
Os pacotes são denominados 'spl-types', 'raydium', 'sol-structs', 'sol-instruct' e 'raydium-sdk' e baixam scripts que roubam dados sensíveis do navegador, aplicativos de mensagens (Telegram, Signal, Session) e detalhes de carteiras de criptomoedas (Exodus, Electrum, Monero).
O malware de roubo de informações também pode exfiltrar arquivos com palavras-chave específicas, bem como tirar capturas de tela e enviar todos os dados para um canal do Telegram.
Pesquisadores da empresa de teste de segurança de aplicativos Checkmarx dizem que, embora os pacotes tenham sido carregados no PyPI em 25 de junho, eles receberam o componente malicioso em uma atualização em 3 de julho.
Os pacotes já não estão no PyPI, mas já foram baixados 2082 vezes.
De acordo com a investigação da Checkmarx, os atacantes visavam especificamente usuários envolvidos nos projetos de blockchain Raydium e Solana.
O fato de Raydium não ter uma biblioteca Python criou uma oportunidade de exploração para os atacantes, que usaram o nome para seu pacote sem ter que recorrer a typosquatting ou outras técnicas de engano.
Para promover os pacotes aos alvos certos, os atacantes criaram contas no StackExchange e deixaram comentários em threads populares contendo links para os pacotes maliciosos.
Os tópicos escolhidos estavam relacionados aos nomes dos pacotes, e as respostas dadas eram de alta qualidade, de modo que as vítimas poderiam ser tentadas a baixar os pacotes perigosos.
Com mais de dois mil possíveis infecções, estimar o impacto desta campanha é difícil, mas os pesquisadores da Checkmarx apresentaram alguns exemplos de vítimas em seu relatório.
Um caso diz respeito a um funcionário de TI que teve sua carteira de criptomoedas Solana esvaziada como resultado da infecção.
No segundo exemplo, o malware capturou uma captura de tela da chave privada da vítima, que pode ser usada para contornar proteções de MFA e sequestrar contas mesmo sem a senha.
Notavelmente, essa captura de tela mostra que as varreduras do Windows Virus and Threat Protection falharam em detectar a ameaça rodando no dispositivo da vítima.
Essa tática já foi usada no passado.
Um caso semelhante foi relatado pela Sonatype em maio de 2024 e envolveu a promoção de pacotes Python maliciosos no PyPI via respostas no StackOverflow.
A maioria dos desenvolvedores de software são pessoas prestativas, prontas para escrever um script ou indicar um que pode facilitar as coisas.
No entanto, usar um script de uma plataforma legítima não é suficiente, pois o autor também deve ser confiável.
Mesmo assim, inspecionar o código antes de usá-lo é a melhor maneira de garantir que ele não foi modificado posteriormente para fins maliciosos, como aconteceu na campanha descrita pela Checkmarx.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...