Os investigadores da Spectralops.io, uma empresa da Check Point Software, detetaram dez pacotes maliciosos no PyPI, um repositório de software para a linguagem de programação Python.
A falsa descrição ascii2text VS a descrição original do pacote
Os investigadores da Spectralops.io, uma empresa da Check Point, detetaram dez pacotes maliciosos em PyPI, um repositório de software para a linguagem de programação Python. Os atacantes executam códigos maliciosos em máquinas alvo, enganando os utilizadores através de nomes e descrições enganosas de pacotes familiares. A instalação de pacotes maliciosos permite aos atacantes roubar dados privados e credenciais pessoais dos programadores. O PyPI tem mais de 609.020 utilizadores ativos, trabalhando em 388.565 projetos, com 3.630.725 lançamentos.
Os investigadores da Spectralops.io, uma empresa da Check Point Software, detetaram dez pacotes maliciosos no PyPI, um repositório de software para a linguagem de programação Python. A ameaça de segurança permite aos cibercriminosos executar códigos em máquinas alvo, permitindo aos atacantes roubar dados privados e credenciais pessoais dos programadores. Os atacantes da ameaça poderiam utilizar nomes e descrições enganosas de pacotes familiares para enganar os utilizadores na instalação.
O PyPI ajuda os programadores a encontrar e instalar software desenvolvido e partilhado por outros programadores desta comunidade. De acordo com o seu próprio website, PyPI tem mais de 609.020 utilizadores ativos, trabalhando em 388.565 projetos, com 3.630.725 lançamentos.
Metodologia de Ataque
Para executar os seus ataques, os ciber-criminosos enganarão os utilizadores na instalação de um pacote malicioso, utilizando nomes e descrições enganosas. Como parte do script de instalação, os pacotes maliciosos executam um ato malicioso, tal como roubar as credenciais dos utilizadores. O código malicioso termina enviando as credenciais que rouba para outro lugar. Em última análise, os utilizadores não estão cientes de que tudo isto acabou de acontecer.
Pacotes maliciosos
Check Point Research (CPR) fornece detalhes sobre os pacotes que detetaram.
- Ascii2text. O código era responsável por descarregar e executar um script malicioso que procura senhas locais e carrega-as usando um gancho web de discórdia.
- Pyg-utils, Pymocks e PyProto2. Como parte da sua instalação setup.py, Pyg-utils liga-se a um domínio malicioso (pygrata.com) que poderia ser uma infra-estrutura para um ataque de phishing. Pymocks e PyProto2 têm, curiosamente, código quase idêntico que visa um domínio diferente – pymocks.com.
- Test-async. Described in its description as a ‘very cool test package that is extremely useful and that everyone needs 100%’. In its setup.py installation script it downloads and executes, probably malicious, code from the web. Interestingly, prior to downloading that snippet, it notifies a Discord channel that a ‘new run’ was started.
- Free-net-vpn e Free-net-vpn2 são pacotes maliciosos que visam variáveis de ambiente. Estes segredos são então publicados para um sítio mapeado por um serviço dinâmico de mapeamento DNS.
- Zlibsrc, provavelmente para tentar confundir os utilizadores de PyPI com o popular pacote Python integrado na zlib.
- Browserdiv, rouba as credenciais dos instaladores e envia para um web hook no Discord como parte do processo de instalação.
- WINRPCexpoit, descreve-se a si próprio como um “pacote para explorar as vulnerabilidades RPC do Windows” enquanto na realidade, apenas rouba as credenciais do instalador.