Pesquisadores de segurança cibernética alertaram sobre a descoberta de dois pacotes maliciosos no repositório Python Package Index (PyPI), conhecidos como zebo e cometlogger, que foram projetados para roubar dados sensíveis de sistemas comprometidos. Os pacotes, que receberam 118 e 164 downloads antes de serem removidos, tinham como principais alvos países como Estados Unidos, China, Rússia e Índia, conforme indica o ClickPy.
Impacto de pacotes maliciosos na segurança de dados e contas sociais
O zebo é um exemplo clássico de malware, com funcionalidades destinadas à vigilância e coleta de dados. Segundo a especialista em segurança Jenna Wang, o pacote se comunica com servidores de comando e controle (C2) através de técnicas de ofuscação, como a codificação de strings em hexadecimal. Ele também usa bibliotecas como pynput para capturar pressionamentos de tecla e ImageGrab para tirar capturas de tela periodicamente. Essas imagens são armazenadas localmente e enviadas para o serviço de hospedagem de imagens ImgBB, utilizando uma chave de API recuperada do servidor C2. Além disso, o zebo garante persistência no sistema, criando scripts de inicialização para ser executado automaticamente após a reinicialização do computador.
Já o cometlogger é mais complexo, com a capacidade de coletar uma variedade de informações, incluindo cookies, senhas e tokens de aplicativos populares como Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify e Roblox. O malware também captura metadados do sistema e da rede, além de interromper processos relacionados ao navegador para garantir acesso irrestrito aos arquivos. A execução assíncrona do script permite que ele roube grandes quantidades de dados rapidamente, o que aumenta sua eficiência.
Ambos os pacotes apresentam características de comportamento malicioso, incluindo a capacidade de evitar ambientes virtualizados e de manipular arquivos dinamicamente. Mesmo que algumas dessas funções possam ser associadas a ferramentas legítimas, o comportamento opaco e a falta de transparência tornam a execução desses pacotes extremamente arriscada. Especialistas recomendam que qualquer código seja minuciosamente examinado antes de ser executado, e que scripts de fontes não verificadas sejam evitados para proteger a segurança do usuário.