Pesquisadores de segurança cibernética descobriram um pacote malicioso no repositório Python Package deal Index (PyPI) que tem como alvo sistemas Apple macOS com o objetivo de roubar credenciais do Google Cloud de usuários de um grupo restrito de vítimas.
O pacote, chamado “lr-utils-lib”, atraiu um complete de 59 downloads antes de ser retirado. Ele foi carregado no registro no início de junho de 2024.
“O malware usa uma lista de hashes predefinidos para atingir máquinas macOS específicas e tenta coletar dados de autenticação do Google Cloud”, disse o pesquisador da Checkmarx Yehuda Gelb em um relatório de sexta-feira. “As credenciais coletadas são enviadas para um servidor remoto.”
Um aspecto importante do pacote é que ele primeiro verifica se foi instalado em um sistema macOS e só então compara o Identificador Universalmente Único (UUID) do sistema com uma lista codificada de 64 hashes.
Se a máquina comprometida estiver entre aquelas especificadas no conjunto predefinido, ela tentará acessar dois arquivos, application_default_credentials.json e credentials.db, localizados no diretório ~/.config/gcloud, que contêm dados de autenticação do Google Cloud.
As informações capturadas são então transmitidas through HTTP para um servidor remoto “europe-west2-workload-422915(.)cloudfunctions(.)internet”.
A Checkmarx disse que também encontrou um perfil falso no LinkedIn com o nome “Lucid Zenith”, que correspondia ao proprietário do pacote e falsamente afirmava ser o CEO da Apex Firms, sugerindo um possível elemento de engenharia social no ataque.
Exatamente quem está por trás da campanha ainda não é conhecido. No entanto, ela acontece mais de dois meses após a empresa de segurança cibernética Phylum ter divulgado detalhes de outro ataque à cadeia de suprimentos envolvendo um pacote Python chamado “requests-darwin-lite” que também foi descoberto por desencadear suas ações maliciosas após verificar o UUID do host macOS.
Essas campanhas são um sinal de que os agentes de ameaças têm conhecimento prévio dos sistemas macOS nos quais desejam se infiltrar e estão se esforçando muito para garantir que os pacotes maliciosos sejam distribuídos apenas para essas máquinas específicas.
Ele também fala sobre as táticas que agentes maliciosos empregam para distribuir pacotes semelhantes, com o objetivo de enganar os desenvolvedores para que os incorporem em seus aplicativos.
“Embora não esteja claro se esse ataque teve como alvo indivíduos ou empresas, esses tipos de ataques podem impactar significativamente as empresas”, disse Gelb. “Embora o comprometimento inicial geralmente ocorra na máquina de um desenvolvedor particular person, as implicações para as empresas podem ser substanciais.”
