Pesquisadores de cibersegurança alertaram sobre um novo pacote Python malicioso que foi descoberto no repositório Python Package Index (PyPI) para facilitar o roubo de criptomoedas como parte de uma campanha mais ampla.
O pacote em questão é pytoileur, que foi baixado 316 vezes até o momento da escrita. Curiosamente, o autor do pacote, que se identifica como PhilipsPY, enviou uma nova versão do pacote (1.0.2) com funcionalidade idêntica após uma versão anterior (1.0.1) ter sido removida pelos mantenedores do PyPI em 28 de maio de 2024.
De acordo com uma análise divulgada pela Sonatype, o código malicioso está incorporado no script setup.py do pacote, permitindo que ele execute uma carga útil codificada em Base64 que é responsável por recuperar um binário do Windows de um servidor externo.
“O binário recuperado, ‘Runtime.exe’, é então executado utilizando comandos do Windows PowerShell e VBScript no sistema”, disse o pesquisador de segurança Ax Sharma.
Uma vez instalado, o binário estabelece persistência e deposita cargas adicionais, incluindo spyware e um malware ladrão capaz de reunir dados de navegadores da web e serviços de criptomoedas.
A Sonatype também identificou uma conta recém-criada no StackOverflow chamada “EstAYA G”, respondendo às perguntas dos usuários na plataforma de perguntas e respostas, direcionando-os para instalar o pacote pytoileur fraudulento como uma suposta solução para seus problemas.
“Embora a atribuição definitiva seja desafiadora ao avaliar contas de usuário pseudônimas em plataformas de internet sem acesso a logs, a idade recente dessas contas de usuário e seu único propósito de publicar e promover o pacote Python malicioso nos dá uma boa indicação de que essas estão ligadas ao mesmo(s) ator(es) de ameaças por trás desta campanha”, disse Sharma ao The Hacker News.
O desenvolvimento marca uma nova escalada ao abusar de uma plataforma confiável como vetor de propagação para malwares.
“O abuso sem precedentes de uma plataforma tão credível, usando-a como um terreno fértil para campanhas maliciosas, é um grande sinal de alerta para os desenvolvedores globalmente”, disse a Sonatype em uma declaração compartilhada com o The Hacker News.
“A comprometimento do Stack Overflow é especialmente preocupante, dado o grande número de desenvolvedores novatos que eles têm, que ainda estão aprendendo, fazendo perguntas, e podem cair em conselhos maliciosos.”
Quando contatado para comentar, o Stack Overflow disse ao The Hacker News que tomou medidas para suspender a conta.
Foi revelado, após uma inspeção mais próxima dos metadados do pacote e sua história de autoria, que há sobreposições com uma campanha anterior envolvendo pacotes Python falsos como Pystob e Pywool, que foram divulgados pela Checkmarx em novembro de 2023.
As descobertas são mais um exemplo do motivo pelo qual ecossistemas de código aberto continuam a ser um ímã para atores de ameaças em busca de comprometer vários alvos de uma só vez com ladrões de informações como Bladeroid e outros malwares por meio do que é chamado de ataque de cadeia de suprimentos.
(A história foi atualizada após a publicação para incluir uma resposta do Stack Overflow sobre a suspensão da conta.)
Encontrou este artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.
