Pesquisadores da Check Point Software detectaram pacotes maliciosos no PyPI (Python Package Index), os quais usam técnicas de phishing para ocultar sua intenção maliciosa. Os usuários que instalam os pacotes de conta foram expostos a um atacante, provavelmente para roubo de identificação e dados pessoais (PII stealer). Uma vez detectados, os pesquisadores alertaram a equipe do PyPI sobre esses pacotes que, em seguida, os removeu.
Pacotes maliciosos em PyPI são descobertos
O PyPI é o repositório oficial de pacotes de software para a linguagem de programação Python onde os programadores podem encontrar, instalar e compartilhar pacotes Python de código aberto com outros. O PyPI é operado pela Python Software Foundation (PSF), e é acessível por meio do programa de instalação de pacotes com ferramenta PIP, que está incluída na maioria das instalações Python.
O PyPI acolhe milhares de pacotes Python de código aberto, desde bibliotecas para computação científica e análise de dados, a estruturas para desenvolvimento web e machine learning (ML).
Os ataques em detalhe
O primeiro pacote avaliado e que chamou a atenção dos pesquisadores da Check Point Software foi o aiotoolsbox; embora parecendo benigno à primeira vista, acabou por ser uma réplica exata do pacote legítimo do aiotools. Enquanto a tipografia é um ataque bastante comum ao mundo da cadeia de suprimentos, a cópia de identidade do pacote benigno é uma prática menos comum, e é de um modo geral aquilo a que assistimos no mundo do phishing.
Tal esforço pode indicar uma campanha mais sofisticada, tendo em conta que os responsáveis pela instalação podem ter uma segunda visão dos pacotes que estão prestes a instalar.
Análise dos metadados dos pacotes: ambos compartilham o mesmo autor enquanto têm um administrador diferente. De acordo com os detalhes do administrador da aiotoolsbox, eles são contribuintes do PyPI desde 2019. Dado o fato de que os únicos dois pacotes que eles têm foram publicados recentemente, é justo supor que essa conta foi violada recentemente. Quanto ao código de configuração da aiotoolsbox, este inclui um estranho fragmento que, como parte do processo de instalação, baixa um zip da web, extrai, executa e, por fim, apaga o seu conteúdo.
Detecção dos pacotes maliciosos
Os especialistas da Check Point Software realizaram a detecção da conta de phishing maliciosa no PyPI (Python Package Index) por meio da CloudGuard Spectral, plataforma de segurança da empresa centrada no desenvolvimento de códigos, usando também seus modelos de machine learning.
As ferramentas automatizadas da plataforma CloudGuard Spectral se integram às ferramentas dos desenvolvedores para detectar vulnerabilidades de código e identificar segredos e configurações incorretas no código antes da implantação, evitando o uso não autorizado para fins nocivos. Com esta plataforma, as organizações podem impedir a exposição de chaves de API, tokens e credenciais, além de corrigir configurações incorretas de segurança.