Pesquisadores de segurança cibernética descobriram um pacote Python malicioso carregado no repositório Python Bundle Index (PyPI) que foi projetado para entregar um ladrão de informações chamado Lumma (também conhecido como LummaC2).
O pacote em questão é o crytic-compilers, uma versão typosquatted de uma biblioteca legítima chamada crytic-compile. O pacote não autorizado foi baixado 441 vezes antes de ser removido pelos mantenedores do PyPI.
“A biblioteca falsificada é interessante porque, além de receber o nome do utilitário Python legítimo, ‘crytic-compile’, ela alinha seus números de versão com a biblioteca actual”, disse o pesquisador de segurança da Sonatype, Ax Sharma.
“Enquanto a versão mais recente da biblioteca actual para em 0.3.7, a versão falsificada dos 'compiladores críticos' começa aqui e termina em 0.3.11 – dando a impressão de que esta é uma versão mais recente do componente.”
Em mais uma tentativa de manter o estratagema, algumas versões de compiladores críticos (por exemplo, 0.3.9) foram encontradas para instalar o pacote actual por meio de uma modificação no script setup.py.
A versão mais recente, no entanto, elimina toda pretensão de ser uma biblioteca benigna, determinando se o sistema operacional é Home windows e, em caso afirmativo, inicia um executável (“s.exe”), que, por sua vez, é projetado para buscar cargas adicionais, incluindo o ladrão Lumma.
Ladrão de informações disponível para outros criminosos sob um modelo de malware como serviço (MaaS), o Lumma foi distribuído por diversos métodos, como software program trojanizado, malvertising e até mesmo atualizações falsas de navegador.
A descoberta “demonstra agentes de ameaças experientes agora visando desenvolvedores Python e abusando de registros de código aberto como o PyPI como um canal de distribuição para seu potente arsenal de roubo de dados”, disse Sharma.
Campanhas falsas de atualização de navegador têm como alvo centenas de websites WordPress
O desenvolvimento ocorre no momento em que a Sucuri revela que mais de 300 websites WordPress foram comprometidos com pop-ups maliciosos de atualização do Google Chrome que redirecionam os visitantes do web site para falsos instaladores MSIX que levam à implantação de ladrões de informações e trojans de acesso remoto.
As cadeias de ataque envolvem os agentes da ameaça obtendo acesso não autorizado à interface de administração do WordPress e instalando um plugin legítimo do WordPress chamado Hustle – E mail Advertising and marketing, Lead Technology, Optins, Popups para carregar o código responsável por exibir os falsos pop-ups de atualização do navegador.
“Esta campanha ressalta uma tendência crescente entre os hackers de aproveitar plugins legítimos para fins maliciosos”, disse o pesquisador de segurança Puja Srivastava. “Ao fazer isso, eles podem evitar a detecção por scanners de arquivos, já que a maioria dos plugins armazena seus dados no banco de dados do WordPress.”
