Descoberto pacote PyPI usado para implantar criptomineradores em sistemas Linux

descoberto-pacote-pypi-usado-para-implantar-criptomineradores-em-sistemas-linux

Os cibercriminosos não param e, mais um pacote desonesto foi encontrado no Linux. O pacote PyPI seria usado para implantar criptomineradores em sistemas Linux.

O pacote desonesto foi removido e havia sido enviado para o repositório oficial de software de terceiros para Python. O módulo, chamado “secretslib” e baixado 93 vezes antes de sua exclusão, foi lançado no Python Package Index (PyPI) em 6 de agosto de 2022 e é descrito como “correspondência e verificação de segredos facilitada”.

Pacote PyPI removido: Sistemas Linux livres desses criptomineradores

De acordo com um relatório citado pelo The Hacker News, do pesquisador da Sonatype, Axe Sharma, “Em uma inspeção mais detalhada, porém, o pacote executa secretamente criptomineradores em sua máquina Linux na memória (diretamente de sua RAM), uma técnica amplamente empregada por malware e crypters sem arquivo”.

Em outras palavras, o pacote malicioso estaria sendo usado para fins de criptomineração em sistemas Linux. Ele consegue isso executando um arquivo executável do Linux recuperado de um servidor remoto após a instalação, cuja principal tarefa é soltar um arquivo ELF (“memfd”) diretamente na memória que funciona como um minerador de criptografia Monero, após o qual é excluído pelo “secretslib” pacote.

descoberto-pacote-pypi-usado-para-implantar-criptomineradores-em-sistemas-linux
Imagem: Reprodução | The Hacker News

Uma ameaça invisível

Ainda segundo Sharma, “A atividade maliciosa deixa pouca ou nenhuma pegada e é bastante ‘invisível’ no sentido forense”. Além disso, o agente da ameaça por trás do pacote abusou da identidade e das informações de contato de um engenheiro de software legítimo que trabalha para o Argonne National Laboratory, um laboratório financiado pelo Departamento de Energia dos EUA para dar credibilidade ao malware.

A ideia, em poucas palavras, é induzir os usuários a baixar bibliotecas infectadas, atribuindo-as a mantenedores populares e confiáveis sem seu conhecimento ou consentimento. Essa é uma ameaça à cadeia de suprimentos chamada plantio de pacotes, lembra o The Hacker News.

O desenvolvimento ocorre quando o PyPi toma medidas para eliminar 10 pacotes maliciosos que foram orquestrados para coletar pontos de dados críticos, como senhas e tokens de API.

Apesar dessa ameça já ter sido aniquilada, precisamos lembrar que os cibercriminosos sempre encontram uma maneira de implementar e melhorar suas ameaças. Assim, precisamos ficar atentos, já que essa ameça pode “evoluir”, ou outras podem ser enviadas, para atacarem os nossos sistemas.

Esperamos que essa ameça não retorne e que o Linux fique livre de criptomineradores. O sistema tem recebido uma onda te ataques nos últimos meses e está se tornando mais vulnerável a acada um deles.