Dezenas de pacotes PyPI enviam malware de roubo de informações 'W4SP'

Pacote malicioso PyPI encontrado se passando por SentinelOne SDK
Pacotes Python maliciosos detectados no PyPi imitam tráfego deste repositório para filtrar dados

Pesquisadores descobriram mais de vinte pacotes Python no registro PyPI que estão enviando malware para roubo de informações. Portanto, são dezenas de pacotes PyPI enviam malware de roubo de informações ‘W4SP’.

A maioria deles contém código ofuscado que lança o ladrão de informações “W4SP” em máquinas infectadas, enquanto outros fazem uso de malware supostamente criado apenas para “fins educacionais”.

31 typosquats soltam o ladrão de informações ‘W4SP’

Os pesquisadores identificaram mais de duas dúzias de pacotes Python no registro PyPI que imitam bibliotecas populares, mas eliminam ladrões de informações depois de infectar máquinas.

Os pacotes, listados abaixo, são typosquats – ou seja, os agentes de ameaças que os publicam os nomeiam intencionalmente de forma semelhante a bibliotecas Python conhecidas, na esperança de que os desenvolvedores que tentem buscar a biblioteca real cometam um erro de ortografia e recuperem inadvertidamente um dos maliciosos.

A empresa de segurança da cadeia de suprimentos de software Phylum revelou 29 pacotes em seu relatório:

  1. algorithmic
  2. colorsama
  3. colorwin
  4. curlapi
  5. cypress
  6. duonet
  7. faq
  8. fatnoob
  9. felpesviadinho
  10. iao
  11. incrivelsim
  12. installpy
  13. oiu
  14. pydprotect
  15. pyhints
  16. pyptext
  17. pyslyte
  18. pystyle
  19. pystyte
  20. pyurllib
  21. requests-httpx
  22. shaasigma
  23. strinfer
  24. stringe
  25. sutiltype
  26. twyne
  27. type-color
  28. typestring
  29. typesutil

Dezenas de pacotes PyPI enviam malware de roubo de informações ‘W4SP’

Tomando o ‘typesutil’ como exemplo, os pesquisadores do Phylum explicaram como o agente da ameaça estava injetando código malicioso por meio da instrução “__import__” em “base de código de outra forma saudável” emprestada de bibliotecas legítimas, um tema que já vimos repetidamente antes.

O pacote PyPI ‘typesutil’ é um dos typosquats descartando o infostealer W4SP  (Phylum)

“…Este ataque em particular começa copiando bibliotecas populares existentes e simplesmente injetando uma  __import__ declaração maliciosa em uma base de código saudável”, escrevem os pesquisadores da Phylum.

“O benefício que esse invasor obteve ao copiar um pacote legítimo existente é que, como a página de destino do PyPI para o pacote é gerada a partir do setup.py e do README.md , eles imediatamente têm uma página de destino de aparência real com principalmente links de trabalho e o A menos que seja minuciosamente inspecionado, um breve olhar pode levar alguém a acreditar que este também é um pacote legítimo.”

Código Python ofuscado encontrado em typosquats  (Phylum)

Outros detalhes

No relatório, os pesquisadores explicam em detalhes os desafios que enfrentaram ao analisar o código ofuscado que abrange mais de 71.000 caracteres, que era “um pouco de lama” pelo qual eles tiveram que se arrastar.

Por fim, os pesquisadores concluíram que o malware descartado por esses pacotes era o W4SP Stealer, que exfiltra seus tokens, cookies e senhas salvas do Discord.

Todos os pacotes juntos foram baixados mais de 5.700 vezes com base nas estatísticas do Pepy.tech, relatam os pesquisadores da Phylum.

Em agosto, os pesquisadores do Kaspersky Securelist também analisaram pacotes PyPI maliciosos que, assim como esses, foram ofuscados com uma ferramenta de código aberto chamada Hyperion e foram pegos descartando o W4SP.

Cuidados importantes

Além disso, o desenvolvedor de software e pesquisador Hauke Lübbers encontrou pacotes PyPI “pystile” e “threadings” contendo malware que se autodenominava “GyruzPIP”.

‘Pystile’ afirma falsamente ser um “módulo simples para colorir … texto”  (BleepingComputer)

Segundo o pesquisador, no entanto, esse malware é baseado em um projeto de código aberto chamado evil-pip publicado para “apenas fins educacionais”.

O código contido nesses dois typosquats era muito mais simples de analisar: com cada nome de função indicando claramente sua finalidade, por exemplo, roubar senhas do Chrome, cookies do navegador, tokens Discord e fazer upload de todos esses dados para um webhook Discord.

Trecho do pacote PyPI malicioso ‘pystile’  (BleepingComputer)

Lübbers, que relatou esses pacotes aos administradores do PyPI, disse ao BleepingComputer que esses projetos provavelmente precisariam ser incluídos como dependências em um programa para que exibam comportamento malicioso.

Ele nos indicou dois repositórios de teste [12] supostamente criados pelos autores do malware e também os relatou ao GitHub.

O desenvolvimento desta semana marca outro incidente entre uma série de ataques de typosquatting direcionados a desenvolvedores enquanto aproveitam plataformas de distribuição de software de código aberto como PyPI e npm.

Acesse a versão completa
Sair da versão mobile