Pacotes Python maliciosos detectados no PyPi imitam tráfego deste repositório para filtrar dados

A assinatura de especialistas em segurança JFrog relatou a descoberta de 11 pacotes Python maliciosos no repositório Python Package Index (PyPI, que é o repositório de software oficial para aplicativos de terceiros na linguagem de programação Python), aparentemente projetado para roubo de tokens de acesso de plataformas como Discord. Também foi visto que ele pode interceptar senhas e implantar ataques de substituição.

Os nomes dos pacotes encontrados são importantpackage/important-package, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10/10Cent11, yandex-yt e yiffpartylos. Aqueles que descobriram esses problemas alertam o “pacote importante” que ele abusa da terminação TLS CDN para roubo de dados, além de usar o Fastly CDN para ocultar comunicações maliciosas com o servidor C&C.

A equipe de pesquisa da JFrog Security monitora continuamente os repositórios populares de software de código-fonte aberto (OSS) com nossas ferramentas automatizadas para relatar pacotes vulneráveis ??e maliciosos aos mantenedores do repositório. No início deste ano, divulgamos vários pacotes maliciosos voltados para dados privados de desenvolvedores que foram baixados aproximadamente 30 mil vezes. Hoje, compartilharemos detalhes sobre 11 novos pacotes de malware que descobrimos e divulgamos recentemente para os mantenedores do PyPI (que os removeram imediatamente).

Pacotes Python maliciosos detectados no PyPi imitam tráfego deste repositório para filtrar dados. Diferentes técnicas de ataque

Outra técnica que alguns desses pacotes Python maliciosos usam para escapar da detecção baseada em rede é usar a rede de entrega de conteúdo Fastly (CDN) para disfarçar as comunicações com o servidor C2 como uma comunicação com pypi.org.

Os invasores também estão usando a estrutura TrevorC2 para implementar certos comandos às escondidas. Nas palavras de “Usando esta estrutura, o cliente entra em contato com o servidor de maneira semelhante como faria ao navegar em um site normalmente, o que torna o tráfego ainda mais escuro.” Com essa técnica, o usuário envia solicitações ocultando a carga útil em solicitações HTTP GET típicas.

Outro tipo popular de evasão de rede usado por desenvolvedores de malware é o túnel DNS. “Embora não seja uma técnica nova, é a primeira vez que vemos esse método de evasão usado em pacotes maliciosos carregados para PyPI“, disseram da empresa que descobriu esses ataques que usam Python. Como pode ser deduzido de seu nome, essa técnica usa solicitações de DNS como um canal de comunicação entre a máquina vítima e o servidor C2.

Embora esse conjunto de pacotes maliciosos possa não ter os mesmos ‘perigos’ de nossas descobertas anteriores, o que é notável é o nível crescente de sofisticação com que são executados. Não é pegar sua carteira em plena luz do dia – mas há muito mais subterfúgios acontecendo com esses pacotes, e alguns deles podem até estar configurando para um ataque de acompanhamento após o reconhecimento inicial, em vez de executar um processo altamente comprometedor carga útil para começar.

Via Genbeta