10 pacotes de código malicioso deslizam para o registro PyPI

Views: 610
0 0
Read Time:3 Minute, 55 Second

Os administradores do Python Package Index (PyPI) removeram 10 pacotes de código de software malicioso do registro depois que um fornecedor de segurança os informou sobre o problema.

O incidente é o mais recente de uma lista crescente de instâncias recentes em que os agentes de ameaças colocaram software não autorizado em repositórios de software amplamente usados, como PyPI, Node Package Manager (npm) e Maven Central, com o objetivo de comprometer várias organizações. Os analistas de segurança descreveram a tendência como aumentando significativamente a necessidade de as equipes de desenvolvimento exercerem a devida diligência ao baixar código de terceiros e código-fonte aberto de registros públicos.

Pesquisadores do Spectralops.io da Check Point descobriram este último conjunto de pacotes maliciosos no PyPI e descobriram que eles são droppers para malware de roubo de informações. Os pacotes foram projetados para parecerem códigos legítimos – e em alguns casos imitavam outros pacotes populares no PyPI.

Código malicioso em scripts de instalação

Os pesquisadores da Check Point descobriram que os agentes de ameaças que colocaram o malware no registro incorporaram código malicioso no script de instalação do pacote . Assim, quando um desenvolvedor usasse o comando de instalação “pip” para instalar qualquer um dos pacotes não autorizados, o código malicioso seria executado despercebido na máquina do usuário e instalaria o dropper de malware.

Por exemplo, um dos pacotes falsos, chamado “Ascii2text”, continha código malicioso em um arquivo (_init_.py) importado pelo script de instalação (setup.py). Quando um desenvolvedor tentava instalar o pacote, o código baixava e executava um script que procurava senhas locais, que então carregava em um servidor Discord. O pacote malicioso foi projetado para se parecer exatamente com um pacote de arte popular com o mesmo nome e descrição, de acordo com a Check Point.

Três dos 10 pacotes não autorizados (Pyg-utils, Pymocks e PyProto2) parecem ter sido desenvolvidos pelo mesmo agente de ameaças que recentemente implantou malware para roubar credenciais da AWS  no PyPI. Durante o processo de instalação do setup.py, o Py-Utils, por exemplo, conectou-se ao mesmo domínio malicioso que o usado na campanha de roubo de credenciais da AWS. Embora Pymocks e PyProto2 tenham se conectado a um domínio malicioso diferente durante o processo de instalação, seu código era quase idêntico ao Pyg-utils, levando a Check Point a acreditar que o mesmo autor havia criado os três pacotes.

Os outros pacotes incluem um provável downloader de malware chamado Test-async que pretendia ser um pacote para teste de código; um chamado WINRPCexploit para roubar credenciais de usuário durante o processo de instalação do setup.py; e dois pacotes (Free-net-vpn e Free-net-vpn2) para roubar variáveis ​​de ambiente. 

“É essencial que os desenvolvedores mantenham suas ações seguras, verificando cada ingrediente de software em uso e especialmente aqueles que estão sendo baixados de diferentes repositórios”, alerta a Check Point.

O fornecedor de segurança não respondeu imediatamente quando perguntado por quanto tempo os pacotes maliciosos podem estar disponíveis no registro PyPI ou quantas pessoas podem tê-los baixado.

Exposição Crescente da Cadeia de Suprimentos

O incidente é o mais recente a destacar os perigos crescentes de baixar código de terceiros de repositórios públicos sem a devida verificação.

Na semana passada, a Sonatype relatou a descoberta de três pacotes contendo ransomware que um hacker em idade escolar na Itália havia carregado no PyPI como parte de um experimento. Mais de 250 usuários baixaram um dos pacotes, 11 dos quais acabaram com arquivos criptografados em seus computadores. Nesse caso, as vítimas conseguiram obter a chave de descriptografia sem ter que pagar um resgate porque o hacker aparentemente carregou o malware sem intenção maliciosa. 

No entanto, houve vários outros casos em que os invasores usaram repositórios de código público como plataformas de lançamento para distribuição de malware.

No início deste ano, a Sonatype também descobriu um pacote malicioso para baixar o kit de ataque Cobalt Strike no PyPI. Cerca de 300 desenvolvedores baixaram o malware antes de ser removido. Em julho, pesquisadores da Kaspersky descobriram quatro ladrões de informações altamente ofuscados à espreita no repositório npm amplamente usado para programadores Java.

Os invasores começaram a visar cada vez mais esses registros devido ao seu amplo alcance. O PyPI, por exemplo, tem mais de 613.000 usuários e o código do site está atualmente incorporado em mais de 391.000 projetos em todo o mundo. Organizações de todos os tamanhos e tipos — incluindo empresas da Fortune 500, editores de software e agências governamentais — usam código de repositórios públicos para construir seu próprio software.

FONTE: DARK READING

POSTS RELACIONADOS