Os invasores continuam a criar pacotes Python falsos e a usar técnicas rudimentares de ofuscação na tentativa de infectar os sistemas dos desenvolvedores com o W4SP Stealer, um Trojan projetado para roubar informações de criptomoedas, exfiltrar dados confidenciais e coletar credenciais dos sistemas dos desenvolvedores.
De acordo com um comunicado publicado esta semana pela empresa de cadeia de suprimentos de software Phylum, um agente de ameaças criou 29 clones de pacotes de software populares no Python Package Index (PyPI), dando-lhes nomes que soam benignos ou propositalmente dando-lhes nomes semelhantes a pacotes legítimos, um prática conhecida como typosquatting. Se um desenvolvedor baixar e carregar os pacotes maliciosos, o script de configuração também instalará – por meio de uma série de etapas ofuscadas – o Trojan W4SP Stealer. Os pacotes foram responsáveis por 5,700 downloads, disseram os pesquisadores.
Embora o W4SP Stealer tenha como alvo carteiras de criptomoedas e contas financeiras, o objetivo mais significativo das campanhas atuais parece ser os segredos dos desenvolvedores, diz Louis Lang, cofundador e CTO da Phylum.
“Não é diferente das campanhas de phishing por e-mail que estamos acostumados a ver, só que desta vez os invasores têm como alvo apenas os desenvolvedores”, diz ele. “Considerando que os desenvolvedores geralmente têm acesso às joias da coroa, um ataque bem-sucedido pode ser devastador para uma organização.”
Os ataques ao PyPI por atores ou grupos desconhecidos são apenas as ameaças mais recentes que visam a cadeia de fornecimento de software. Componentes de software de código aberto distribuídos por meio de serviços de repositório, como PyPI e Node Package Manager (npm), são um vetor popular de ataques, como o número de dependências importadas para software cresceu dramaticamente. Os invasores tentam usar os ecossistemas para distribuir malware aos sistemas de desenvolvedores incautos, como aconteceu em um ataque de 2020 ao ecossistema Ruby Gems e ataques a o ecossistema de imagens Docker Hub. E em agosto, pesquisadores de segurança da Check Point Software Technologies encontrou 10 pacotes PyPI que lançou malware para roubo de informações.
Nesta última campanha, “esses pacotes são uma tentativa mais sofisticada de entregar o W4SP Stealer nas máquinas dos desenvolvedores Python”, pesquisadores da Phylum afirmou em sua análise, acrescentando: “Como este é um ataque contínuo com táticas em constante mudança de um invasor determinado, suspeitamos ver mais malware como este surgindo em um futuro próximo.”
Ataque PyPI é um “jogo de números”
Esse ataque aproveita os desenvolvedores que digitam incorretamente o nome de um pacote comum ou usam um novo pacote sem verificar adequadamente a origem do software. Um pacote malicioso, denominado “typesutil”, é apenas uma cópia do popular pacote Python “datetime2”, com algumas modificações.
Inicialmente, qualquer programa que importasse o software malicioso executaria um comando para baixar o malware durante a fase de configuração, quando o Python carrega as dependências. No entanto, como o PyPI implementou certas verificações, os invasores começaram a usar espaços em branco para enviar comandos suspeitos para fora do intervalo normal de visualização da maioria dos editores de código.
“O invasor mudou ligeiramente de tática e, em vez de apenas despejar a importação em um local óbvio, ela foi colocada fora da tela, aproveitando o ponto-e-vírgula raramente usado do Python para colocar o código malicioso na mesma linha de outro código legítimo”, afirmou Phylum. em sua análise.
Embora o typosquatting seja um ataque de baixa fidelidade com apenas raros sucessos, o esforço custa pouco aos invasores em comparação com a recompensa potencial, diz Lang da Phylum.
“É um jogo de números, com invasores poluindo o ecossistema de pacotes com esses pacotes maliciosos diariamente”, diz ele. “A triste realidade é que o custo para implantar um desses pacotes maliciosos é extremamente baixo em relação à recompensa potencial.”
Um W4SP que dói
O objetivo final do ataque é instalar o “Trojan W4SP Stealer, que rouba informações, que enumera o sistema da vítima, rouba senhas armazenadas no navegador, tem como alvo carteiras de criptomoedas e procura arquivos interessantes usando palavras-chave, como 'banco' e 'secreto'. '”, diz Lang.
“Além das óbvias recompensas monetárias do roubo de criptomoedas ou informações bancárias, algumas das informações roubadas poderiam ser usadas pelo invasor para promover seu ataque, dando acesso a infraestrutura crítica ou credenciais adicionais de desenvolvedor”, diz ele.
A Phylum fez alguns progressos na identificação do invasor e enviou relatórios às empresas cuja infraestrutura está sendo utilizada.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
