Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/dozens-of-pypi-packages-caught-dropping-w4sp-info-stealing-malware/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #dezenas #de #pacotes #pypi #capturados #soltando #malware #de #roubo #de #informações #w4sp
Os pesquisadores descobriram mais de duas dúzias de pacotes Python no registro PyPI que estão enviando malware para roubo de informações.
A maioria deles contém código ofuscado que lança o ladrão de informações "W4SP" em máquinas infectadas, enquanto outros usam malware supostamente criado apenas para "fins educacionais".
31 typosquats deixam o ladrão de informações 'W4SP'
Os pesquisadores identificaram mais de duas dúzias de pacotes Python no registro PyPI que imitam bibliotecas populares, mas eliminam ladrões de informações após infectar máquinas.
Os pacotes listados abaixo são typosquats, ou seja, os agentes de ameaças que os publicam os nomearam intencionalmente de forma semelhante a bibliotecas Python conhecidas na esperança de que os desenvolvedores que tentam buscar a biblioteca real cometam um erro de ortografia e, inadvertidamente, recuperem um dos maliciosos.
A empresa de segurança da cadeia de suprimentos de software Phylum revelou 29 pacotes em seu relatório publicado ontem:
algorítmico
coresama
colorwin
curlapi
cipreste
duonet
Perguntas frequentes
gordo
felpesviadinho
iao
incrivelsim
instalação
oiu
pydprotect
dicas
pyptext
psilito
pystyle
pystyte
pyurllib
solicitações-httpx
shaasigma
estridente
corda
tipo sutil
twyne
tipo-cor
cadeia de caracteres
typeutil
Tomando o 'typesutil' como exemplo, os pesquisadores da Phylum explicaram como o agente da ameaça estava injetando código malicioso por meio da instrução "__import__" em "base de código de outra forma saudável" emprestada de bibliotecas legítimas, um tema que já vimos repetidamente antes.
O pacote PyPI 'typesutil' é um dos typosquats descartando o infostealer W4SP (Filo)
"...Esse ataque em particular começa copiando bibliotecas populares existentes e simplesmente injetando uma declaração __import__ maliciosa em uma base de código saudável", escrevem os pesquisadores da Phylum.
"O benefício que esse invasor obteve ao copiar um pacote legítimo existente é que, como a página de destino do PyPI para o pacote é gerada a partir do setup.py e do README.md, eles imediatamente têm uma página de destino de aparência real com principalmente links funcionais e o A menos que seja minuciosamente inspecionado, um breve olhar pode levar alguém a acreditar que este também é um pacote legítimo."
Código Python ofuscado encontrado em typosquats (Filo)
No relatório, os pesquisadores explicam em detalhes os desafios que enfrentaram ao analisar o código ofuscado com mais de 71.000 caracteres que foi "um pouco de lama" que eles tiveram que percorrer.
Por fim, os pesquisadores concluíram que o malware descartado por esses pacotes era o W4SP Stealer, que exfiltra seus tokens do Discord, cookies e senhas salvas.
Todos os pacotes juntos foram baixados mais de 5.700 vezes com base nas estatísticas do Pepy.tech, relatam pesquisadores do Phylum.
Em agosto, pesquisadores do Kaspersky Securelist também analisaram pacotes PyPI maliciosos que, muito parecidos com esses, foram ofuscados com a ferramenta de código aberto chamada Hyperion e capturaram o W4SP.
Digite-me uma vez, leia-me duas vezes!
Além disso, o desenvolvedor de software e pesquisador Hauke Lübbers encontrou pacotes PyPI "pystile" e "threadings" contendo malware que se autodenominava "GyruzPIP".
'Pystile' falsamente afirma ser um "módulo simples para colorir... texto" (BleepingComputer)
De acordo com o pesquisador, no entanto, esse malware é baseado em um projeto de código aberto chamado evil-pip publicado apenas para "fins educacionais".
Dois pacotes maliciosos #python relatados ao @pypi: "pystile" e "threadings". Ambos fazem uso do "malware educacional" de código aberto EvilPIP, mas estão se autodenominando "GyruzPIP Malware".
— Hauke Lübbers (@streamlin3d) 1º de novembro de 2022
A BleepingComputer observou que o código contido nesses dois typosquats era muito mais simples de analisar: com cada nome de função declarando claramente sua finalidade , por exemplo, roubar senhas do Chrome, cookies do navegador, tokens do Discord e fazer upload de todos esses dados para um webhook do Discord.
Trecho do pacote PyPI malicioso 'pystile' (BleepingComputer)
Lübbers, que relatou esses pacotes aos administradores do PyPI, disse ao BleepingComputer que esses projetos provavelmente precisariam ser incluídos como dependências em um programa para que exibissem comportamento malicioso.
Ele nos indicou dois repositórios de teste [1, 2] supostamente criados pelos autores do malware e também os relatou ao GitHub.
O desenvolvimento desta semana marca outro incidente entre uma série de ataques de typosquatting direcionados a desenvolvedores enquanto aproveitam plataformas de distribuição de software de código aberto como PyPI e npm.
Postar um comentário