Pesquisadores de Segurança Cibernética Descobriram um pacote Malicioso no Repositório Python Package Index (PyPI). Embora o pacote Inicialmente se Apresente como um Utilitário Inofensivo Relacionado ao Discord, ele, na verdade, esconde um trojan de acesso remoto.
Especificamente, o pacote —discordpydebug— foi Carregado no PyPI em 21 de março de 2022. Desde então, Usuários o Baixaram 11.574 vezes, e o pacote ainda Permanece Disponível no Registro de código aberto. Além disso, o pacote não recebeu nenhuma Atualização desde seu upload.
“À primeira vista, parecia ser um utilitário simples voltado para desenvolvedores que trabalham em bots do Discord usando a biblioteca Discord.py”, explicou a Equipe de Pesquisa do Socket . “No entanto, o pacote ocultava um trojan de acesso remoto (RAT) totalmente funcional.”
Uma vez Instalado, o pacote contata um Servidor externo (“backstabprotection.jamesx123.repl[.]co”) e Habilita Operações de arquivo com base em Comandos —readfile ou writefile— Recebidos desse Servidor. Além disso, o RAT inclui a Capacidade de Executar Comandos de shell.
Essencialmente, o discordpydebug pode ler dados Confidenciais, como arquivos de Configuração, tokens e Credenciais, Modificar arquivos Existentes, baixar payloads adicionais e Executar Comandos para Exfiltrar dados.
“Embora o código não inclua mecanismos de persistência ou escalonamento de privilégios, sua simplicidade o torna particularmente eficaz”, observou Socket. “Além disso, seu uso de polling HTTP de saída em vez de conexões de entrada permite que ele ignore a maioria dos firewalls e ferramentas de monitoramento de segurança — especialmente em ambientes de desenvolvimento com controles menos rigorosos.”
O Desenvolvimento ocorre quando a empresa de Segurança da cadeia de Suprimentos de software Socket também Descobriu mais de 45 pacotes npm que se passam por Bibliotecas Legítimas de outros Ecossistemas, com o Objetivo de enganar os Desenvolvedores para que os Instalem. Alguns desses pacotes incluem:
-
beautifulsoup4 (um typosquat da Biblioteca Python BeautifulSoup4)
-
apache-httpclient (um typosquat da Biblioteca Java Apache HttpClient)
-
opentk (um typosquat da biblioteca OpenTK .NET)
-
seaborn (um typosquat da biblioteca Seaborn Python)
Análises mais Aprofundadas Revelaram que todos os pacotes Identificados Compartilham a mesma Infraestrutura, Dependem de Payloads Ofuscados Semelhantes e se Conectam ao mesmo Endereço IP. Embora listem Diferentes Mantenedores, essas Semelhanças sugerem Fortemente que um único agente de ameaça está por trás da Campanha.
“Pacotes identificados como parte desta campanha contêm código ofuscado, projetado para contornar medidas de segurança, executar scripts maliciosos, exfiltrar dados confidenciais e manter a persistência nos sistemas afetados”, explicou Socket .
Fonte: TheHackerNews
Leia mais em Notícias Impreza
