Você está visualizando atualmente Cybercriminosos Abusam Do Stack Overflow Para Promover Pacote Malicioso De Python

Cybercriminosos Abusam Do Stack Overflow Para Promover Pacote Malicioso De Python

Pesquisadores de segurança cibernética alertaram sobre um novo pacote Python malicioso que foi descoberto no repositório Python Package Index (PyPI) para facilitar o roubo de criptomoedas como parte de uma campanha mais ampla.

O pacote em questão é pytoileur, que foi baixado 316 vezes no momento da escrita. Curiosamente, o autor do pacote, que atende pelo nome PhilipsPY, enviou uma nova versão do pacote (1.0.2) com funcionalidade idêntica após uma versão anterior (1.0.1) ter sido removida pelos mantenedores do PyPI em 28 de maio de 2024.

De acordo com uma análise feita pela Sonatype, o código malicioso está embutido no script setup.py do pacote, permitindo que ele execute uma carga útil codificada em Base64 que é responsável por recuperar um binário do Windows de um servidor externo.

“O binário recuperado, ‘Runtime.exe’, é então executado utilizando comandos do Windows PowerShell e VBScript no sistema,” disse o pesquisador de segurança Ax Sharma.

Depois de instalado, o binário estabelece persistência e deixa cargas adicionais, incluindo spyware e um malware de roubo capaz de coletar dados de navegadores da web e serviços de criptomoedas.

A Sonatype também identificou uma conta recém-criada no StackOverflow chamada “EstAYA G” que respondia às perguntas dos usuários na plataforma de perguntas e respostas, direcionando-os a instalar o pacote pytoileur como uma suposta solução para seus problemas.

“Embora a atribuição definitiva seja desafiadora ao avaliar contas de usuários pseudônimos em plataformas da internet sem acesso a logs, a recente idade de ambas as contas de usuário e seu único propósito de publicar e promover o pacote Python malicioso nos dá uma boa indicação de que estão ligadas ao mesmo grupo de ameaças por trás dessa campanha,” disse Sharma ao The Hacker News.

Esse desenvolvimento marca uma nova escalada, pois abusa de uma plataforma credível como vetor de propagação para malware.

“O abuso sem precedentes de uma plataforma tão credível, usando-a como um terreno fértil para campanhas maliciosas, é um grande sinal de alerta para desenvolvedores em todo o mundo,” afirmou a Sonatype em um comunicado compartilhado com o The Hacker News.