Pacotes Maliciosos do PyPI Roubaram Tokens da Nuvem – Mais de 14.100 Downloads Antes da Remoção – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Pesquisadores de segurança cibernética alertaram sobre uma campanha maliciosa direcionada aos usuários do repositório Python Package Index (PyPI) com bibliotecas falsas disfarçadas de utilitários relacionados ao “tempo”, mas que ocultam funcionalidades para roubar dados sensíveis, como tokens de acesso à nuvem.

A empresa de segurança de cadeia de suprimentos de software ReversingLabs descobriu dois conjuntos de pacotes totalizando 20 deles. Os pacotes foram baixados cumulativamente mais de 14.100 vezes, sendo os mais populares:

– snapshot-photo (2.448 downloads)
– time-check-server (316 downloads)
– time-check-server-get (178 downloads)
– time-server-analysis (144 downloads)
– time-server-analyzer (74 downloads)
– time-server-test (155 downloads)
– time-service-checker (151 downloads)

E outros.

Enquanto o primeiro conjunto se refere a pacotes usados para enviar dados para a infraestrutura do atacante, o segundo cluster é composto por pacotes que implementam funcionalidades de cliente de nuvem para diversos serviços, como Alibaba Cloud, Amazon Web Services e Tencent Cloud.

Mas eles também têm usado pacotes relacionados ao “tempo” para extrair segredos da nuvem. Todos os pacotes identificados já foram removidos do PyPI no momento da escrita.

Análises adicionais revelaram que três dos pacotes, acloud-client, enumer-iam e tcloud-python-test, foram listados como dependências de um projeto GitHub relativamente popular chamado accesskey_tools, que foi forked 42 vezes e recebeu 519 estrelas.

Uma alteração no código fonte referente ao tcloud-python-test foi feita em 8 de novembro de 2023, indicando que o pacote está disponível para download no PyPI desde então. O pacote foi baixado 793 vezes até o momento.

A divulgação ocorre após o Fortinet FortiGuard Labs afirmar ter descoberto milhares de pacotes no PyPI e npm, alguns dos quais contêm scripts de instalação suspeitos projetados para implantar código malicioso durante a instalação ou se comunicar com servidores externos.

“URLs suspeitos são um indicador-chave de pacotes potencialmente maliciosos, pois geralmente são usados para baixar cargas adicionais ou estabelecer comunicação com servidores de comando e controle (C&C), dando aos atacantes controle sobre sistemas infectados”, disse Jenna Wang.

“Eles ainda acrescentaram: “Em 974 pacotes, essas URLs são vinculadas ao risco de exfiltração de dados, downloads de malware adicionais e outras ações maliciosas. É crucial analisar e monitorar URLs externos nas dependências de pacotes para evitar a exploração”.

Você também pode gostar

Latrodectus Malware Loader Surge Como Sucessora do IcedID em Campanhas de Phishing

Principais Atrações Turísticas De Nova Iorque

Hackers Usam Macro do MS Excel para Lançar Ataque de Malware em Várias Etapas na Ucrânia