Pesquisadores de cibersegurança alertaram sobre um novo pacote Python malicioso que foi descoberto no repositório Python Package Index (PyPI) para facilitar o roubo de criptomoedas como parte de uma campanha mais ampla.
O pacote em questão é o pytoileur, que foi baixado 316 vezes até o momento da escrita. Curiosamente, o autor do pacote, que se identifica como PhilipsPY, fez upload de uma nova versão do pacote (1.0.2) com funcionalidade idêntica após uma versão anterior (1.0.1) ser removida pelos mantenedores do PyPI em 28 de maio de 2024.
De acordo com uma análise divulgada pela Sonatype, o código malicioso está embutido no script setup.py do pacote, permitindo a execução de uma carga útil codificada em Base64 que é responsável por recuperar um binário do Windows de um servidor externo.
“O binário recuperado, ‘Runtime.exe’, é então executado aproveitando comandos do PowerShell e VBScript no sistema”, disse o pesquisador de segurança Ax Sharma.
Uma vez instalado, o binário estabelece persistência e libera cargas adicionais, incluindo spyware e um malware stealer capaz de coletar dados de navegadores da web e serviços de criptomoedas.
A Sonatype também identificou uma conta recém-criada no StackOverflow chamada “EstAYA G” que responde às perguntas dos usuários na plataforma de perguntas e respostas, direcionando-os para instalar o pacote pytoileur como uma suposta solução para seus problemas.
“Embora a atribuição definitiva seja desafiadora ao avaliar contas de usuários pseudônimos em plataformas de internet sem acesso a logs, a idade recente dessas contas de usuário e seu único propósito de publicar e promover o pacote Python malicioso nos dá uma boa indicação de que estão ligadas ao mesmo(s) ator(es) de ameaças por trás dessa campanha”, disse Sharma ao The Hacker News.
O desenvolvimento marca uma nova escalada no abuso de uma plataforma credível como vetor de propagação de malware.
“O abuso sem precedentes de uma plataforma tão credível, usando-a como terreno fértil para campanhas maliciosas, é um grande sinal de alerta para desenvolvedores em todo o mundo”, disse a Sonatype em um comunicado compartilhado com The Hacker News.
“A vulnerabilidade do Stack Overflow é especialmente preocupante, dada a grande quantidade de desenvolvedores iniciantes que possui, que ainda estão aprendendo, fazendo perguntas e podem cair em conselhos maliciosos.”
Ao ser contatado para comentar, o Stack Overflow disse ao The Hacker News que tomou medidas para suspender a conta.
“O time de Confiança e Segurança do Stack Overflow investigou a reclamação”, disse um porta-voz da empresa à publicação. “A equipe descobriu determinados conteúdos que violam as políticas da rede Stack Overflow, os removeu da rede e tomou mais medidas de acordo com os procedimentos padrão de resposta a incidentes.”
Uma examinação mais detalhada dos metadados do pacote e de sua história de autoria revelou sobreposições com uma campanha anterior envolvendo pacotes Python falsos como Pystob e Pywool, que foi divulgada pela Checkmarx em novembro de 2023.
As descobertas são mais um exemplo de por que os ecossistemas de código aberto continuam sendo um ímã para atores de ameaças que buscam comprometer vários alvos de uma vez com roubadores de informações como o Bladeroid e outros malwares por meio do que é chamado de ataque à cadeia de suprimentos.
(Publicado originalmente em – Atualizado para incluir uma resposta do Stack Overflow sobre a suspensão da conta.)
