Pesquisadores em cibersegurança identificaram dois novos pacotes maliciosos no repositório Python Package Index (PyPI), projetados para distribuir um trojan de acesso remoto chamado SilentSync em sistemas Windows.
De acordo com Manisha Ramcharan Prajapati e Satyam Singh, da Zscaler ThreatLabz, o SilentSync permite execução remota de comandos, exfiltração de arquivos e captura de tela.
Além disso, o malware é capaz de extrair dados dos navegadores web, incluindo credenciais, histórico, dados de preenchimento automático e cookies em navegadores populares como Chrome, Brave, Edge e Firefox.
Os pacotes, que já foram removidos do PyPI, são os seguintes, ambos enviados por um usuário identificado como "CondeTGAPIS":
- sisaws (201 downloads)
- secmeasure (627 downloads)
A Zscaler explicou que o pacote sisaws imita o comportamento do pacote legítimo sisa, relacionado ao Sistema Integrado de Información Sanitaria Argentino (SISA), sistema nacional de saúde da Argentina.
Entretanto, a biblioteca contém uma função chamada “gen_token()” no script de inicialização (__init__.py), que atua como um downloader para um malware de próxima etapa.
Funciona assim: ao importar sisaws e executar a função gen_token, o código decodifica uma string hexadecimal que revela um comando curl.
Esse comando é usado para baixar um script Python adicional, armazenado temporariamente como helper.py e executado em seguida.
O script é recuperado do serviço PasteBin, conforme detalhou a Zscaler.
De modo semelhante, o pacote secmeasure se apresenta como uma “biblioteca para limpeza de strings e aplicação de medidas de segurança”, mas também contém código malicioso que instala o SilentSync RAT.
Embora o SilentSync tenha como alvo principal sistemas Windows, o malware traz funcionalidades para Linux e macOS.
No Windows, ele realiza modificações no Registro.
No Linux, altera o arquivo crontab para garantir a execução na inicialização do sistema.
No macOS, registra um LaunchAgent para execução automática.
O malware utiliza um token secundário para enviar requisições HTTP GET a um endereço fixo (“200[.]58.107[.]25”), buscando códigos Python que são executados diretamente na memória.
O servidor possui quatro endpoints diferentes para estabelecer comunicação:
- /checkin: verifica a conectividade
- /comando: solicita comandos para execução
- /respuesta: envia mensagens de status
- /archivo: transmite saída dos comandos ou dados roubados
Entre as funções do SilentSync, destacam-se a coleta de dados dos navegadores, execução de comandos shell, captura de telas e roubo de arquivos.
Ele pode compactar arquivos e diretórios em arquivos ZIP para facilitar a exfiltração.
Após o envio dos dados, o malware apaga todos os vestígios do sistema infectado, dificultando a detecção.
A descoberta dos pacotes sisaws e secmeasure reforça o crescimento dos riscos associados a ataques na cadeia de suprimentos de software, especialmente em repositórios públicos como o PyPI.
Segundo a Zscaler, ao usar técnicas de typosquatting e se disfarçar como pacotes legítimos, atacantes conseguem acessar informações pessoais sensíveis (PII), comprometendo a segurança dos usuários e desenvolvedores.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...