Pesquisadores de cibersegurança descobriram um pacote Python malicioso enviado ao repositório Python Package Index (PyPI) que foi projetado para entregar um roubador de informações chamado Lumma (também conhecido como LummaC2).
O pacote em questão é o crytic-compilers, uma versão falsificada de uma biblioteca legítima chamada crytic-compile. O pacote fraudulento foi baixado 441 vezes antes de ser removido pelos mantenedores do PyPI.
“A biblioteca falsa é interessante porque, além de ser nomeada em referência à utilidade Python legítima, ‘crytic-compile’, ela alinha seus números de versão com a biblioteca real,” disse o pesquisador de segurança da Sonatype, Ax Sharma.
“Enquanto a versão mais recente da biblioteca real para em 0.3.7, a versão falsa ‘crytic-compilers’ começa exatamente aqui e termina em 0.3.11 – dando a impressão de que esta é uma versão mais recente do componente”.
Em uma tentativa adicional de manter a farsa, algumas versões do crytic-compilers (por exemplo, 0.3.9) foram encontradas instalando o pacote real por meio de uma modificação no script setup.py.
A última versão, no entanto, deixa de lado toda pretensão de ser uma biblioteca benigna, verificando se o sistema operacional é Windows e, se for, lança um executável (“s.exe”), que por sua vez é projetado para buscar cargas adicionais, incluindo o Lumma Stealer.
Um roubador de informações disponível para outros atores criminosos sob um modelo de malware como serviço (MaaS), o Lumma tem sido distribuído por meio de diversos métodos, como software trojanizado, malvertising e até mesmo falsas atualizações de navegador.
A descoberta “demonstra que atores de ameaças experientes estão agora visando desenvolvedores Python e abusando de registros de código aberto como o PyPI como um canal de distribuição para seu poderoso arsenal de roubo de dados,” disse Sharma.
Campanhas de Atualização Falsa de Navegador Visam Centenas de Sites WordPress
O desenvolvimento ocorre após a Sucuri revelar que mais de 300 sites WordPress foram comprometidos com pop-ups maliciosos de atualização do Google Chrome que redirecionam os visitantes do site para instaladores MSIX falsos que levam à implantação de roubadores de informações e trojans de acesso remoto.
As cadeias de ataque envolvem os atores da ameaça ganhando acesso não autorizado à interface de administração do WordPress e instalando um plugin legítimo do WordPress chamado Hustle – Email Marketing, Lead Generation, Optins, Popups para fazer upload do código responsável por exibir os pop-ups falsos de atualização do navegador.
“Esta campanha destaca uma tendência crescente entre hackers de aproveitar plugins legítimos para fins maliciosos,” disse a pesquisadora de segurança Puja Srivastava. “Ao fazer isso, eles podem evitar a detecção por scanners de arquivo, já que a maioria dos plugins armazenam seus dados dentro do banco de dados do WordPress”.
