Malwares

Pacotes maliciosos em PyPI contendo técnicas de phishing são descobertos por pesquisadores

Pacotes maliciosos no PyPI usam técnicas de phishing para ocultar sua intenção maliciosa

Jardeson Márcio
pacotes-maliciosos-em-pypi-contendo-tecnicas-de-phishing-sao-descobertos-por-pesquisadores

Pesquisadores da Check Point Software detectaram pacotes maliciosos no PyPI (Python Package Index), os quais usam técnicas de phishing para ocultar sua intenção maliciosa. Os usuários que instalam os pacotes de conta foram expostos a um atacante, provavelmente para roubo de identificação e dados pessoais (PII stealer). Uma vez detectados, os pesquisadores alertaram a equipe do PyPI sobre esses pacotes que, em seguida, os removeu.

Contents
Pacotes maliciosos em PyPI são descobertosOs ataques em detalheDetecção dos pacotes maliciosos 

Pacotes maliciosos em PyPI são descobertos

O PyPI é o repositório oficial de pacotes de software para a linguagem de programação Python onde os programadores podem encontrar, instalar e compartilhar pacotes Python de código aberto com outros. O PyPI é operado pela Python Software Foundation (PSF), e é acessível por meio do programa de instalação de pacotes com ferramenta PIP, que está incluída na maioria das instalações Python. 

O PyPI acolhe milhares de pacotes Python de código aberto, desde bibliotecas para computação científica e análise de dados, a estruturas para desenvolvimento web e machine learning (ML).

Os ataques em detalhe

O primeiro pacote avaliado e que chamou a atenção dos pesquisadores da Check Point Software foi o aiotoolsbox; embora parecendo benigno à primeira vista, acabou por ser uma réplica exata do pacote legítimo do aiotools. Enquanto a tipografia é um ataque bastante comum ao mundo da cadeia de suprimentos, a cópia de identidade do pacote benigno é uma prática menos comum, e é de um modo geral aquilo a que assistimos no mundo do phishing.

Tal esforço pode indicar uma campanha mais sofisticada, tendo em conta que os responsáveis pela instalação podem ter uma segunda visão dos pacotes que estão prestes a instalar.

O pacote benigno aiotools (imagem 1) e a caixa maliciosa de aiotools (imagem 2)

Análise dos metadados dos pacotes: ambos compartilham o mesmo autor enquanto têm um administrador diferente. De acordo com os detalhes do administrador da aiotoolsbox, eles são contribuintes do PyPI desde 2019. Dado o fato de que os únicos dois pacotes que eles têm foram publicados recentemente, é justo supor que essa conta foi violada recentemente. Quanto ao código de configuração da aiotoolsbox, este inclui um estranho fragmento que, como parte do processo de instalação, baixa um zip da web, extrai, executa e, por fim, apaga o seu conteúdo.

Detecção dos pacotes maliciosos 

Os especialistas da Check Point Software realizaram a detecção da conta de phishing maliciosa no PyPI (Python Package Index) por meio da CloudGuard Spectral, plataforma de segurança da empresa centrada no desenvolvimento de códigos, usando também seus modelos de machine learning.

As ferramentas automatizadas da plataforma CloudGuard Spectral se integram às ferramentas dos desenvolvedores para detectar vulnerabilidades de código e identificar segredos e configurações incorretas no código antes da implantação, evitando o uso não autorizado para fins nocivos. Com esta plataforma, as organizações podem impedir a exposição de chaves de API, tokens e credenciais, além de corrigir configurações incorretas de segurança.

TAGGED:
Share This Article
Por Jardeson Márcio
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Previous Article Estudante de Engenharia cria robô para ajudar idosos em asilo
Next Article Fedora CoreOS convida comunidade para testes em relação a atualização e IoT
Sair da versão mobile