Duas bibliotecas Python maliciosas adicionais encontradas

Duas bibliotecas Python maliciosas adicionais encontradas no repositório PyPI pela equipe da Kaspersky.

Mais dois pacotes Python maliciosos foram descobertos no repositório Python Package Index (PyPI), dias depois que pesquisadores de segurança da Check Point detectaram 10 deles.

Os dois pacotes adicionais também foram encontrados, desta vez pela Kaspersky, que postou um aviso descrevendo-os em seu blog .

De acordo com a equipe de segurança, os dois novos pacotes estavam se passando por um dos pacotes de código aberto mais populares no PyPI.

O invasor usou uma descrição do pacote legítimo de ‘solicitações’ para induzir as vítimas a instalar um pacote malicioso”, escreveu Kaspersky.

Além disso, a descrição continha estatísticas falsas, sugerindo que o pacote foi instalado 230 milhões de vezes em um mês e tinha mais de 48.000 “estrelas” no GitHub. 

A descrição do projeto também faz referência às páginas da web do pacote original de ‘solicitações’, bem como ao e-mail do autor”, disse Kaspersky. “Todas as menções ao nome do pacote legítimo foram substituídas pelo nome do pacote malicioso.”

O código dos pacotes maliciosos também era extremamente semelhante ao código do pacote ‘requests’ legítimo, exceto por um arquivo chamado exception.py.

A versão modificada do script (com data de 30 de julho, data de publicação do pacote malicioso), foi responsável por entregar uma carga maliciosa.

O script grava outro script Python one-liner em um arquivo temporário e, em seguida, executa esse arquivo por meio da função system.start(). Em seguida, esse script de uma linha baixa o script do próximo estágio”, explicou Kaspersky.

A próxima etapa do ataque dependeria de um downloader ofuscado com uma ferramenta disponível publicamente chamada Hyperion, que implantaria a carga útil do estágio final com um script que permitisse a persistência na máquina infectada.

A carga final, apelidada de “W4SP Stealer” por seu autor no código, é um Trojan escrito em Python e ofuscado com o mesmo ofuscador que o downloader. 

O malware pode roubar endereços IP e trabalhar com criptografia para descriptografar cookies e senhas de navegadores. Após a infecção inicial, o Trojan começa a coletar tokens do Discord, cookies salvos e senhas de navegadores em threads separados.

O script injetado monitora as ações da vítima, como alterar seu endereço de e-mail, senha ou informações de cobrança. As informações atualizadas também são enviadas para o canal Discord”, diz o comunicado.

A Kaspersky encerrou o documento confirmando que relatou os dois pacotes à equipe de segurança do PyPI e ao banco de dados de vulnerabilidades Snyk.

A descoberta dos pacotes maliciosos ocorre semanas depois que o PyPI anunciou que começaria a aplicar uma política obrigatória de autenticação de dois fatores (2FA) para projetos classificados como “críticos”.

Fonte: Infosecurity Magazine

Veja também:

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!