Várias bibliotecas Python com backdoor são flagradas roubando chaves e segredos da AWS (Amazon Web Services). Pesquisadores descobriram vários pacotes Python maliciosos no repositório oficial de software de terceiros que são projetados para exfiltrar credenciais da AWS, além de variáveis de ambiente para um endpoint exposto publicamente.
A lista de pacotes inclui loglib-modules, pyg-modules, pygrata, pygrata-utils e hkg-sol-utils, de acordo com o pesquisador de segurança da Sonatype, Axe Sharma. Os pacotes e o endpoint foram removidos. De acordo com o pesquisador “Alguns desses pacotes contêm código que lê e exfiltra seus segredos ou usam uma das dependências que farão o trabalho”.
Bibliotecas Python e o roubo de chaves da AWS
O código malicioso injetado em “loglib-modules” e “pygrata-utils” permite que os pacotes coletem credenciais da AWS, informações de interface de rede e variáveis ??de ambiente e os exportem para um endpoint remoto: “hxxp://graph.pygrata[.] com:8000/upload.”
O The Hacher News aponta que, os terminais que hospedavam essas informações na forma de centenas de arquivos .TXT não eram protegidos por nenhuma barreira de autenticação, permitindo efetivamente que qualquer parte na web acessasse essas credenciais.
No entanto, cabe ressaltar que pacotes como “pygrata” usam um dos dois módulos mencionados como dependência e não abrigam o código em si. A identidade do agente da ameaça e seus motivos permanecem obscuros no momento. No entanto, possivelmente, os pesquisadores conseguirão identificá-los, em breve.
Credenciais roubadas
“As credenciais roubadas estavam sendo expostas intencionalmente na web ou uma consequência de más práticas de OPSEC?”, questionou Sharma. “Se isso for algum tipo de teste de segurança legítimo, certamente não há muita informação neste momento para descartar a natureza suspeita dessa atividade”.
Esta não é a primeira vez que esses pacotes são empurrados em repositórios de código aberto. Exatamente um mês atrás, dois pacotes Python e PHP trojanizados, chamados ctx e phpass, foram descobertos em mais uma instância de um ataque à cadeia de suprimentos de software. Um pesquisador de segurança de Istambul, Yunus Ayd?n, posteriormente reivindicou a responsabilidade pelas modificações não autorizadas, afirmando que ele queria apenas “mostrar como esse ataque simples afeta mais de 10 milhões de usuários e empresas”.
Além disso, uma empresa de testes de penetração chamada Code White assumiu no mês passado (Via: The Hacker News) o upload de pacotes maliciosos para o registro NPM em uma tentativa de imitar de forma realista ataques de confusão de dependência direcionados a seus clientes no país. A maioria desses clientes pertencem aos setores de mídia, logística, e empresas industriais.