Pesquisadores de cibersegurança alertaram sobre um novo pacote Python malicioso que foi descoberto no repositório Python Package Index (PyPI) para facilitar o roubo de criptomoedas como parte de uma campanha mais ampla.
O pacote em questão é pytoileur, que foi baixado 316 vezes até o momento da escrita. Curiosamente, o autor do pacote, que atende pelo nome de PhilipsPY, enviou uma nova versão do pacote (1.0.2) com funcionalidade idêntica após uma versão anterior (1.0.1) ter sido removida pelos mantenedores do PyPI em 28 de maio de 2024.
De acordo com uma análise divulgada pela Sonatype, o código malicioso está embutido no script setup.py do pacote, permitindo que ele execute um payload codificado em Base64 responsável por recuperar um binário do Windows de um servidor externo.
“O binário recuperado, ‘Runtime.exe’, é então executado aproveitando comandos do Windows PowerShell e VBScript no sistema,” disse o pesquisador de segurança Ax Sharma.
Uma vez instalado, o binário estabelece persistência e deixa cargas adicionais, incluindo spyware e um malware ladino capaz de coletar dados de navegadores da web e serviços de criptomoedas.
A Sonatype também identificou uma nova conta no StackOverflow chamada “EstAYA G” respondendo às perguntas dos usuários na plataforma de perguntas e respostas, direcionando-os para instalar o pacote pytoileur ilegítimo como uma suposta solução para seus problemas.
“Embora a atribuição definitiva seja desafiadora ao avaliar contas de usuário pseudônimas em plataformas da internet sem acesso aos logs, a recente idade dessas contas de usuário e seu único propósito de publicar e promover o pacote Python malicioso nos dá uma boa indicação de que elas estão ligadas ao mesmo(s) ator(es) por trás desta campanha,” disse Sharma ao The Hacker News.
O desenvolvimento marca uma nova escalada no sentido de abusar de uma plataforma credível como vetor de propagação para malware.
“O abuso sem precedentes de uma plataforma tão credível, usando-a como um terreno fértil para campanhas maliciosas, é um grande sinal de alerta para desenvolvedores globalmente,” disse a Sonatype em um comunicado compartilhado com The Hacker News.
“O comprometimento do Stack Overflow é especialmente preocupante dada a grande quantidade de desenvolvedores novatos que possui, que ainda estão aprendendo, fazendo perguntas e podem cair em conselhos maliciosos.”
Contatado para comentar, o Stack Overflow disse ao The Hacker News que tomou medidas para suspender a conta.
“O time de Confiabilidade e Segurança do Stack Overflow investigou a reivindicação,” disse um porta-voz da empresa à publicação. “A equipe descobriu determinado conteúdo que viola as políticas da rede Stack Overflow, removeu-o da rede e tomou medidas adicionais de acordo com os procedimentos padrão de resposta a incidentes.”
Um exame mais detalhado dos metadados do pacote e a história de sua autoria revelaram sobreposições com uma campanha anterior envolvendo pacotes Python falsos como Pystob e Pywool, que foi revelada pela Checkmarx em novembro de 2023.
As descobertas são mais um exemplo de por que ecossistemas de código aberto continuam sendo um imã para atores maliciosos em busca de comprometer vários alvos de uma só vez com ladrões de informações como Bladeroid e outros malwares por meio do que é chamado de ataque à cadeia de suprimentos.
(A história foi atualizada após a publicação para incluir uma resposta do Stack Overflow sobre a suspensão da conta.)
