Cibercriminosos publicaram mais de 451 pacotes Python exclusivos com malware no repositório oficial do Python Package Index (PyPI). Os pacotes maliciosos foram identificados por pesquisadores do Phylum, que descobriram que os pacotes são uma tentativa de fornecer malware clipper nos sistemas de desenvolvimento.
Segundo os especialistas, a atividade ainda está em andamento e faz parte de uma campanha maliciosa que eles descobriram em novembro de 2022. Assim, ainda demanda atenção dos usuários desse repositório.
Malwares em pacotes no repositório PyPI
Atores de ameaças cometeram erros de digitação em vários pacotes importantes no PyPI, como: bitcoinlib; ccxt; cryptocompare; cryptofeed; freqtrade; selenium; solana; vyper; websockets; yfinance; pandas; matplotlib; aiohttp e muitos outros. Além disso, os pesquisadores relataram que os invasores estão tentando registrar o mesmo código em todos os possíveis erros de digitação simples de um nome de pacote. O processo é simples e fácil de automatizar.
A Phylum apontou que a técnica de ofuscação usada nesses pacotes é significativamente diferente dos pacotes que eles detectaram em novembro de 2022. Ao instalar um pacote malicioso, um arquivo JavaScript é inserido no sistema e executado em segundo plano em qualquer sessão de navegação na web, permitindo substituir um endereço de criptomoeda pelo endereço do invasor toda vez que um desenvolvedor o copia.
De acordo com a análise publicada pela Phylum (Via: Security Affairs),
Em última análise, este código está tentando fazer exatamente o que descobrimos na postagem do blog de novembro e isso é substituir discretamente qualquer endereço de carteira criptografada copiado para a área de transferência do usuário pelos endereços de carteira controlados pelo invasor.
Ele faz isso criando uma extensão de navegador e, em seguida, grava o seguinte JavaScript nessa extensão: O malware estabelece persistência instruindo o(s) navegador(es) do desenvolvedor a carregar essa extensão sempre que um navegador for aberto.
Alvo do malware clipper
O malware clipper tem como alvo navegadores populares, incluindo Google Chrome, Microsoft Edge, Brave e Opera. Esse malware modifica os atalhos do navegador para carregar a extensão iniciando o software com a linha de comando “–load-extension”. Dessa forma, a gangue consegue dados do dispositivo da vítima.
Esse invasor aumentou significativamente sua pegada em pypi por meio da automação. Inundar o ecossistema com pacotes como este continuará.
O uso de caracteres chineses, ou qualquer outro plano Unicode, é um desvio fácil de detectar e descartar.
Esperamos que os usuários do repositório PyPI fiquem atentos, para que não sejam vítimas desses pacotes maliciosos com malware embutidos. Assim, poderá evitar problemas futuros.