Você está visualizando atualmente Pacote Malicioso Python Esconde Estrutura C2 Sliver no Logotipo da Biblioteca Falsa de Requisições

Pacote Malicioso Python Esconde Estrutura C2 Sliver no Logotipo da Biblioteca Falsa de Requisições

Pesquisadores de segurança cibernética identificaram um pacote Python malicioso que se apresenta como um derivado da popular biblioteca de solicitações e foi encontrado ocultando uma versão Golang do framework de comando e controle Sliver dentro de uma imagem PNG do logotipo do projeto. O pacote que utiliza esse truque esteganográfico é o requests-darwin-lite, que foi baixado 417 vezes antes de ser removido do registro do Python Package Index (PyPI). Solicitações-darwin-lite “parecia ser um fork da sempre popular biblioteca de solicitações com algumas diferenças-chave, mais notablemente a inclusão de um binário Go malicioso embalado em uma versão maior do logotipo real em PNG da barra lateral de solicitações,” disse a empresa de segurança da cadeia de fornecimento de software Phylum. As alterações foram introduzidas no arquivo setup.py do pacote, que foi configurado para decodificar e executar um comando codificado em Base64 para coletar o identificador de UUID do sistema, mas somente após confirmar que o host comprometido está executando Apple macOS. A descoberta também ocorre um pouco mais de um mês depois que a empresa descobriu um pacote npm malicioso chamado vue2util que se apresenta como um utilitário auxiliar, mas é projetado para realizar um esquema de cryptojacking e roubar tokens USDT de uma vítima. O pacote “explora o mecanismo de aprovação do contrato ERC20 (USDT), concedendo secretamente uma aprovação ilimitada ao endereço do contrato do atacante, permitindo efetivamente ao atacante drenar os tokens USDT da vítima,” observou a Phylum. O objetivo exato do pacote ainda não está claro, mas o desenvolvimento é mais uma vez um sinal de que ecossistemas de código aberto continuam sendo um vetor atraente para distribuir malware. Com uma grande maioria das bases de código dependendo de código aberto, a contínua entrada de malware no npm, PyPI e outros registros de pacotes, sem mencionar o recente episódio do XZ Utils, destacou a necessidade de abordar questões de forma sistemática que, de outra forma, podem “desviar grandes áreas da web.”