Pacotes PyPI maliciosos com mais de 10.000 downloads retirados

O registro do Python Package Index (PyPI) removeu três pacotes Python maliciosos com o objetivo de exfiltrar variáveis ​​de ambiente e lançar cavalos de Troia nas máquinas infectadas.

Estima-se que esses pacotes maliciosos geraram mais de 10.000 downloads e mirrors juntos, de acordo com o relatório dos pesquisadores.

A análise estática em grande escala levou a uma descoberta maliciosa

Esta semana,  Andrew Scott , desenvolvedor e gerente de produto sênior da Palo Alto Networks, relatou ter descoberto três pacotes Python maliciosos no registro de código aberto PyPI.

Esses pacotes maliciosos, mostrados abaixo, foram totalmente baixados e espelhados quase 15.000 vezes.

A primeira versão do dpp-client surgiu no PyPI por volta de 13 de fevereiro de 2021 e a do dpp-client1234 no dia 14. Visto que a primeira versão do  aws-login0tool  apareceu mais recentemente, em 1º de dezembro.

Nome do pacote Mantenedor Descrição Contagens de download *
aws-login0tool davycrockett5729492 Candidato a typosquatting, instala Trojan (EXE) no Windows 3.042
cliente dpp cutoffurmind (Alex) Exfiltra variáveis ​​de ambiente (Unix) e arquivos 10.194
dpp-client1234 cutoffurmind (Alex) Exfiltra variáveis ​​de ambiente (Unix) e arquivos 1.536

* As contagens de download agregadas de PyPIstats e Pepy.tech podem incluir espelhos (automatizados), além de downloads orgânicos por desenvolvedores.

Ao realizar uma análise estática em grande escala de "uma grande porcentagem dos pacotes no PyPI", Scott encontrou esses pacotes de aparência misteriosa.

"Eu peguei isso principalmente por meio da inspeção manual dos  arquivos setup.py que correspondiam a várias strings de suspeita e padrões regex que eu estava procurando", disse Scott à BleepingComputer em uma entrevista por e-mail.

"Por exemplo, a maioria dos casos de exec eram benignos, mas é um método arriscado de usar e comumente alavancado por invasores que criam pacotes maliciosos."

Para ajudar em sua pesquisa, Scott fez uso do projeto de código aberto Bandersnatch da Python Packaging Authority .

"Depois de fazer o download de um grande número de distribuições de pacotes, precisei extraí-los para uma análise mais fácil. Montei um script Python bastante simples para iterar recursivamente pela estrutura de pastas um tanto complicada de Bandersnatch e depois descompactar e extrair cada sdist , ovo ou roda para um diretório simples ", explica o desenvolvedor em sua postagem no blog .

Depois de extrair os pacotes, o desenvolvedor executou uma série de operações de pesquisa baseadas em string e regex por meio do  utilitário grep e revisou manualmente os resultados.

"O resultado dessa abordagem simples foi realmente muito impactante."

Destina-se a PCs com Windows, distros Linux executando Apache Mesos

Os AWS-login0tool alvos de pacotes máquinas Windows e downloads a executáveis de 64 bits maliciosos,  normal.exe do  Tryg [.] Ga domínio.

O executável malicioso foi identificado como um trojan por  38% dos mecanismos antivírus  no VirusTotal, no momento da redação:

código aws-login0tool
aws-login0tool descarta EXE malicioso (BleepingComputer)

Pelo contrário, DPP-cliente e DPP-client1234 sistemas Linux alvo e espiada variáveis de ambiente, listagem de diretório, e exfiltrate esta informação ao  pt.traktrain [.] Com domínio .

Esses pacotes tentam explorar alguns diretórios selecionados, incluindo  / mnt / mesos , indicando que o malware está procurando especificamente por arquivos relacionados ao Apache Mesos , um produto de gerenciamento de cluster de código aberto.

código dpp-client
Código-fonte de uma das  versões do  cliente dpp (BleepingComputer)

O que permanece um mistério é um grande número de downloads e mirrors para esses pacotes.

À primeira vista,  aws-login0tool  parece ser uma tentativa de typosquatting, já que o desenvolvedor aponta - as teclas '0 'e' - 'estão presentes uma ao lado da outra na maioria dos teclados. No entanto, o BleepingComputer não tem conhecimento de um pacote PyPI ativo denominado 'aws-login-tool' que um invasor inteligente pode ser tentado a personificar. Embora, um pode ter existido  no passado.

BleepingComputer também observou a página PyPI para  aws-login0tool , quando ativo, continha um aviso explícito instruindo o usuário a não baixar o pacote:

"Por favor, não use isso ... Faz coisas ruins ... Oh, querida :("

Página de download do PyPI para aws-login0tool
Página PyPI para o pacote  malicioso aws-login0tool agora removido  (BleepingComputer)

Da mesma forma, as páginas do projeto para os  pacotes dpp-clientdpp-client1234 , como visto por BleepingComputer, continham uma palavra-chave "teste" simples em sua descrição, insinuando que eram, provavelmente, parte de um exercício de prova de conceito.

Este desenvolvimento segue instâncias contínuas de malware e conteúdo indesejado direcionado a repositórios de código aberto como PyPI, npm e RubyGems.

No mês passado, a equipe de pesquisa de segurança da JFrog relatou ter capturado ladrões de informações do Discord entre outros pacotes PyPI maliciosos que abusavam de uma técnica de "nova exfiltração".

No mesmo mês, escrevi sobre um pacote PyPI malicioso que fez uma  tentativa grosseira de typosquatting  'boto3' - o Amazon Web Services SDK para Python.

Em julho deste ano, seis pacotes PyPI maliciosos também foram  pegos minerando criptomoedas em máquinas de desenvolvedores.

Felizmente, os três pacotes mencionados acima descobertos por Scott foram relatados aos administradores do PyPI em 10 de dezembro e removidos rapidamente.

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Fonte: https://www.bleepingcomputer.com

 

Post a Comment