0
0
Um hacker aparentemente em idade escolar com sede em Verona, na Itália, tornou-se o mais recente a demonstrar por que os desenvolvedores precisam prestar muita atenção ao que baixam de repositórios de código público nos dias de hoje.
O jovem hacker carregou recentemente vários pacotes Python maliciosos contendo scripts de ransomware para o Python Package Index (PyPI), supostamente como um experimento.
Os pacotes foram chamados de “requesys”, “requesrs” e “requesr”, que são todos os typosquats comuns de “requests” – uma biblioteca HTTP legítima e amplamente usada para Python.
De acordo com os pesquisadores da Sonatype que detectaram o código malicioso no PyPI, um dos pacotes (requesys) foi baixado cerca de 258 vezes – presumivelmente por desenvolvedores que cometeram erros tipográficos ao tentar baixar o pacote real de “solicitações”. O pacote tinha scripts para percorrer pastas como Documentos, Downloads e Imagens em sistemas Windows e criptografá-los.
Uma versão do pacote requesys continha o código de criptografia e descriptografia em Python de texto simples. Mas uma versão subsequente continha um executável ofuscado em Base64 que tornava a análise um pouco mais difícil, de acordo com Sonatype.
Ausência de malícia?
Os desenvolvedores que acabaram com seu sistema criptografado receberam uma mensagem pop-up instruindo-os a entrar em contato com o autor do pacote – “b8ff” (também conhecido como “OHR” ou Only Hope Remains) – em seu canal Discord, para a chave de descriptografia. As vítimas conseguiram obter a chave de descriptografia sem ter que pagar por ela, diz Sonatype.
“E isso torna este caso mais uma área cinzenta em vez de uma atividade maliciosa”, conclui Sonatype. Informações no canal Discord do hacker mostram que pelo menos 15 vítimas instalaram e executaram o pacote.
A Sonatype descobriu o malware em 28 de julho e o relatou imediatamente aos administradores do PyPI, diz a empresa. Dois dos pacotes foram removidos e o hacker renomeou o pacote requesys, para que os desenvolvedores não o confundam mais com um pacote legítimo.
“Há duas conclusões aqui”, diz Ankita Lamba, pesquisadora sênior de segurança da Sonatype. “Primeiro, seja cauteloso ao digitar os nomes de bibliotecas populares, pois o typosquatting é um dos métodos de ataque mais comuns para malware”, diz ela.
Em segundo lugar e de forma mais ampla, os desenvolvedores devem sempre ser cautelosos sobre o que estão baixando e quais pacotes estão incorporando em suas compilações de software. “O código aberto é combustível crítico para a inovação digital e um alvo maduro para ataques à cadeia de suprimentos de software”, diz Lamba.
Número crescente de códigos maliciosos em repositórios
O incidente está entre um número crescente de casos recentemente em que os agentes de ameaças plantaram códigos maliciosos em repositórios de software amplamente usados, com o objetivo de fazer com que os desenvolvedores baixem e instalem em seus ambientes.
Alguns deles – como o incidente mais recente – envolveram pacotes com erros de digitação ou malware com nomes semelhantes aos de software legítimo em repositórios de software públicos. Em maio, por exemplo, a Sonatype descobriu que cerca de 300 desenvolvedores haviam baixado um pacote malicioso para distribuir o Cobalt Strike chamado “Pymafka” do registro PyPI, pensando que era “PyKafka”, um cliente Kafka legítimo e amplamente baixado.
Também em maio, a Sonatype descobriu outro pacote malicioso no PyPI chamado “karaspace”, usado para roubar informações do sistema, que tinha o mesmo nome de um projeto Kafka legítimo no GitHub.
Em julho, pesquisadores da Kaspersky descobriram quatro pacotes de roubo de informações no repositório Node Package Manager (npm). No mesmo mês, a ReversingLabs relatou ter encontrado cerca de duas dúzias de módulos npm fortemente ofuscados para roubar dados que foram baixados mais de 27.000 vezes. O fornecedor estimou que os pacotes maliciosos provavelmente foram instalados em centenas – e provavelmente até milhares – de aplicativos móveis e sites.
Pesquisadores de segurança apontaram a tendência como aumentando a necessidade de as organizações prestarem mais atenção às suas cadeias de suprimentos de software – especialmente quando se trata de usar software de código aberto de repositórios públicos como PyPI, npm e Maven Central.
Um projeto de pesquisa “divertido”
Após a descoberta mais recente, pesquisadores da Sonatype entraram em contato com o autor do código malicioso e descobriram que ele era um hacker escolar aparentemente intrigado com as explorações e a facilidade de desenvolvê-las.Lamba diz que b8ff disse à Sonatype que o script do ransomware era completamente de código aberto e parte de um projeto que ele havia desenvolvido por diversão.
“Como eles são um ‘desenvolvedor de aprendizado’ da escola, este deveria ser um projeto de pesquisa divertido sobre explorações de ransomware que poderiam facilmente ter se perdido muito mais”, diz Lamba. “O autor continuou dizendo que eles ficaram surpresos ao ver como foi fácil criar esse exploit e como foi interessante.”
FONTE: DARK READING