Pesquisadores de segurança cibernética identificaram um pacote Python malicioso que se faz passar por um desdobramento da popular biblioteca requests e descobriram que ele esconde uma versão Golang do framework de comando e controle Sliver em uma imagem PNG do logo do projeto. O pacote que utiliza esse truque esteganográfico é requests-darwin-lite, que foi baixado 417 vezes antes de ser removido do registro do Python Package Index (PyPI). Requests-darwin-lite “parecia ser um fork da sempre popular biblioteca requests com algumas diferenças-chave, sendo a inclusão de um binário Go malicioso embalado em uma grande versão do logotipo PNG lateral real do requests”, disse a empresa de segurança da cadeia de suprimentos de software Phylum. As mudanças foram introduzidas no arquivo setup.py do pacote, que foi configurado para decodificar e executar um comando codificado em Base64 para coletar o Identificador Único Universal (UUID) do sistema, mas apenas depois de confirmar que o host comprometido está executando o macOS da Apple. A descoberta também ocorre um pouco mais de um mês após a empresa descobrir um pacote npm malicioso chamado vue2util que se passa por um utilitário auxiliar, mas é projetado para realizar um esquema de cryptojacking e roubar tokens USDT de uma vítima. O pacote “explora o mecanismo de aprovação do contrato ERC20 (USDT), concedendo secretamente aprovação ilimitada ao endereço do contrato do atacante, permitindo efetivamente que o atacante drenasse os tokens USDT da vítima”, observou a Phylum. Em uma reviravolta interessante, a cadeia de infecção continua apenas se o identificador corresponder a um valor específico, o que indica que o(s) autor(es) por trás do pacote estão tentando invadir uma máquina específica da qual já possuem o identificador obtido por outros meios. Isso levanta duas possibilidades: Ou é um ataque altamente direcionado, ou é algum tipo de processo de teste antes de uma campanha mais ampla. Se o UUID corresponder, o requests-darwin-lite procede a ler dados de um arquivo PNG chamado “requests-sidebar-large.png”, que apresenta semelhanças com o pacote legítimo requests que vem com um arquivo semelhante chamado “requests-sidebar.png”. A diferença é que enquanto o verdadeiro logo incorporado no requests tem um tamanho de arquivo de 300 kB, o contido dentro do requests-darwin-lite tem cerca de 17 MB. Os dados binários escondidos na imagem PNG são do Sliver, um framework C2 baseado em Golang, destinado a ser usado por profissionais de segurança em suas operações de equipe vermelha. O objetivo final exato do pacote ainda não está claro, mas o desenvolvimento é mais um sinal de que os ecossistemas de código aberto continuam a ser um vetor atraente para distribuir malware. Com a grande maioria das bases de código dependendo de código aberto, a entrada constante de malware no npm, PyPI e outros registros de pacotes, sem mencionar o recente episódio do XZ Utils, destacou a necessidade de abordar questões de forma sistêmica que, caso contrário, podem “descarrilar grandes áreas da web”.