Pesquisadores de segurança cibernética alertaram sobre um novo pacote Python malicioso que foi descoberto no repositório Python Package deal Index (PyPI) para facilitar o roubo de criptomoedas como parte de uma campanha mais ampla.
O pacote em questão é o pytoileur, que foi baixado 316 vezes até o momento. Curiosamente, o autor do pacote, que atende pelo nome de PhilipsPY, carregou uma nova versão do pacote (1.0.2) com funcionalidade idêntica depois que uma versão anterior (1.0.1) foi retirada pelos mantenedores do PyPI em 28 de maio de 2024.
De acordo com uma análise divulgada pela Sonatype, o código malicioso está embutido no script setup.py do pacote, permitindo que ele execute uma carga codificada em Base64 responsável por recuperar um binário do Home windows de um servidor externo.
“O binário recuperado, ‘Runtime.exe’, é então executado aproveitando os comandos do Home windows PowerShell e VBScript no sistema”, disse o pesquisador de segurança Ax Sharma.
Uma vez instalado, o binário estabelece persistência e descarta cargas adicionais, incluindo adware e um malware ladrão capaz de coletar dados de navegadores da net e serviços de criptomoeda.
Sonatype disse que também identificou uma conta StackOverflow recém-criada chamada “EstAYA G” respondendo às perguntas dos usuários na plataforma de perguntas e respostas, orientando-os a instalar o pacote nocivo pytoileur como uma suposta solução para seus problemas.
“Embora a atribuição definitiva seja um desafio ao avaliar contas de usuários pseudônimos em plataformas da Web sem acesso a registros, a idade recente de ambas as contas de usuário e seu único propósito de publicar e promover o pacote Python malicioso nos dá uma boa indicação de que elas estão vinculadas a os mesmos atores de ameaça por trás desta campanha”, disse Sharma ao The Hacker Information.
O desenvolvimento marca uma nova escalada na medida em que abusa de uma plataforma confiável como vetor de propagação de malware.
“O abuso aberto sem precedentes de uma plataforma tão credível, usando-a como terreno fértil para campanhas maliciosas, é um enorme sinal de alerta para os desenvolvedores em todo o mundo”, disse ainda a Sonatype em um comunicado compartilhado com o The Hacker Information.
“O comprometimento do StackOverflow é especialmente preocupante dado o grande número de desenvolvedores novatos que possui, que ainda estão aprendendo, fazendo perguntas e podem cair em conselhos maliciosos.”
Um exame mais detalhado dos metadados do pacote e de seu histórico de autoria revelou sobreposições com uma campanha anterior envolvendo pacotes Python falsos, como Pystob e Pywool, que foi divulgada pela Checkmarx em novembro de 2023.
As descobertas são outro exemplo de por que os ecossistemas de código aberto continuam a ser um ímã para os agentes de ameaças que procuram comprometer vários alvos ao mesmo tempo com ladrões de informações como o Bladeroid e outros malwares por meio do que é chamado de ataque à cadeia de suprimentos.
