Pesquisadores de segurança cibernética descobriram dois pacotes maliciosos no repositório Python Package Índice (PyPI) que foram encontrados aproveitando uma técnica chamada carregamento lateral de DLL para contornar a detecção por software de segurança e executar código malicioso.
Os pacotes, nomeados NP6HelperHttptest e NP6HelperHttperforam baixados 537 e 166 vezes, respectivamente, antes de serem removidos.
“A última invenção é um exemplo de carregamento lateral de DLL executado por um pacote de código acessível que sugere que o escopo das ameaças à masmorra de suprimentos de software está se expandindo”, disse Petar Kirhmajer, pesquisador do ReversingLabs, em um relatório compartilhado com o The Hacker News.
O nome NP6 é notável porque se refere a uma solução legítima de automação de marketing feita pela ChapsVision. Em privado, os pacotes falsos são typosquats de NP6HelperHttp e NP6HelperConfig, que são ferramentas auxiliares publicadas por um dos funcionários da ChapsVision para PyPI.
Em outras palavras, o objetivo é enganar os desenvolvedores que procuram NP6HelperHttp e NP6HelperConfig para que baixem seus equivalentes não autorizados.
Contido nas duas bibliotecas está um script setup.py projetado para minguar dois arquivos, um possível real da Kingsoft Corporation (“ComServer.exe”), com sede em Pequim, que é vulnerável ao carregamento lateral de DLL e à DLL maliciosa para ser onusto lateralmente (“dgdeskband64.dll”).
No carregamento lateral da DLL, o objetivo é evitar a detecção do código malicioso, uma vez que observado anteriormente no caso de um pacote npm chamado aabquerys que também aproveitou a mesma técnica para executar código capaz de implantar um trojan de aproximação remoto.
A DLL, por sua vez, alcança um domínio controlado pelo invasor (“us.archive-ubuntu(.)top”) para buscar um registro GIF que, na veras, é um pedaço de código shell para um Cobalt Strike Beacon, um kit de ferramentas pós-exploração usado para red teaming.
Há evidências que sugerem que os pacotes fazem secção de uma campanha mais ampla que envolve a distribuição de executáveis semelhantes que são suscetíveis ao carregamento lateral de DLL.
“As organizações de desenvolvimento precisam estar cientes das ameaças relacionadas à segurança da masmorra de suprimentos e aos repositórios de pacotes de código acessível”, disse o pesquisador de segurança Karlo Zanki.
“Mesmo que eles não usem repositórios de pacotes de código acessível, isso não significa que os agentes de ameaças não irão exorbitar deles para se passar por empresas e seus produtos e ferramentas de software”.