Um pacote Python malicioso chamado “crytic-compilers” foi identificado no PyPI. Desenvolvedores Python devem tomar cuidado. O pacote disfarçado de biblioteca legítima para compilação inteligente de contratos, imitou o nome e o esquema de versão da verdadeira ferramenta de “compilação crítica”.
Pacotes maliciosos usados em ataques a desenvolvedores Python
O pacote impostor se infiltrou em ambientes de desenvolvimento populares, parecendo oferecer a funcionalidade desejada, pois abrigava uma carga oculta que roubava criptomoedas de sistemas infectados. Embora o mesmo tenha obtido 436 downloads antes de ser removido, o que destaca a vulnerabilidade de depender apenas de componentes de código aberto sem a devida verificação.
Biblioteca falsa
Uma biblioteca Python falsificada, “crytic-compilers”, foi projetada para explorar os desenvolvedores, imitando a biblioteca legítima “crytic-compile”, que usa nomes semelhantes e alinha os números de versão (0.3.8 a 0.3.11) com a aparência de uma versão mais recente. Algumas versões até tentam instalar a biblioteca real para evitar suspeitas.
A intenção maliciosa é revelada na versão 0.3.11, que tem como alvo os sistemas Windows e executa um programa oculto (s.exe). A estratégia aproveita a popularidade da “compilação crítica” (170.000 downloads mensais, 141 estrelas do GitHub) para se infiltrar em projetos desavisados ??na comunidade de desenvolvimento de criptomoedas.
Lumma, um trojan C2 ligado à Rússia, tem como alvo os usuários do Windows roubando carteiras criptográficas e senhas de navegadores. O malware, disfarçado de arquivo executável (s.exe), utiliza técnicas de antidetecção para evitar ser capturado.
Ele se conecta a uma lista de domínios (IOCs) com endpoints “/api” ativos, provavelmente servidores Lumma C2, registrados no Namecheap e protegidos pela Cloudflare, tornando as tentativas de remoção mais desafiadoras.
De acordo com SonaType (Via: GBHackers), o bloqueio geográfico também impede que usuários acessem esses domínios de regiões restritas. Lumma Stealer, um trojan do Windows baseado em C direcionado a carteiras de criptomoedas e extensões de navegador, foi distribuído por meio de vários canais desde pelo menos 2022.
Oferecido principalmente como malware como serviço em fóruns russos da dark web, Lumma reapareceu em aplicativos trojanizados, e-mails de phishing e jogos piratas com cheats. Mais recentemente, downloads drive-by em sites comprometidos, disfarçados de atualizações falsas de navegador, foram usados ??para entregar ladrões de Lumma.
Recomenda-se que os desenvolvedores Python fiquem ligados em ameaças como essa, para que não sofram com ataques, sobretudo russos. Infelizmente, os cibercriminosos estão cada vez mais ardilosos e as armadilhas parecem mais verdadeiras do que nunca. Então, cuidado!