0
0
A Check Point Research detectou um pacote de código aberto malicioso que usa esteganografia para ocultar código malicioso dentro de arquivos de imagem.
O pacote malicioso estava disponível no PyPI, um índice de pacotes amplamente utilizado pelos desenvolvedores do Python. Após serem notificados, os mantenedores do PyPI removeram o pacote malicioso.
O pacote malicioso, apicolor, parece um dos muitos pacotes de desenvolvimento disponíveis no PyPI. O cabeçalho afirma que o pacote é uma “lib principal para a API REST”. O script de instalação de pacotes para apicolor tem instruções para baixar pacotes adicionais (requests e judyb), juntamente com uma imagem da Web. O script então usa os recursos de esteganografia no judyb para descobrir e executar o código malicioso oculto dentro do arquivo de imagem. O código malicioso baixa o malware da Web e o instala na máquina do usuário.
O impacto parece mínimo – a Check Point Research encontrou apenas três usuários do GitHub, incluindo apicolor e judyb em seu código, e pouco mais de 80 projetos contendo os pacotes maliciosos. O método de infecção depende de pessoas que se deparam com esses projetos de código aberto e os instalam em suas máquinas, “sem saber que isso traz uma importação de pacote malicioso”, disse a equipe.
O take-away mais importante? “Essas descobertas refletem o planejamento cuidadoso e o pensamento de um agente de ameaças, que prova que as técnicas de ofuscação no PyPI evoluíram”, escreveu a Check Point Research no blog da equipe .
Os invasores não dependem mais apenas da estratégia para copiar e renomear pacotes existentes e ocultar códigos maliciosos dentro deles. Em vez disso, eles têm como alvo certos tipos de usuários – geralmente aqueles que trabalham em casa e aqueles que usam máquinas corporativas para projetos paralelos, de acordo com a equipe de pesquisa.
FONTE: DARK READING