29 pacotes no PyPI (Python Package Index) foram descobertos por pesquisadores de cibersegurança, o repositório oficial de software de terceiros para a linguagem de programação Python, visa infectar as máquinas dos desenvolvedores com um malware conhecido como W4SP Stealer.
A empresa de segurança da cadeia de suprimentos de software Phylum, em um relatório publicado esta semana, disse, “O ataque principal parece ter começado por volta de 12 de outubro de 2022, lentamente pegando vapor para um esforço concentrado por volta de 22 de outubro”.
Segue a lista de pacotes ofensivos: typeutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cipreste, pystyte, pyslyte, pystyle, pyurllib, algorítmico, oiu, iao, curlapi, type-color, e pyhints.
Os pacotes foram baixados mais de 5.700 vezes, com algumas das bibliotecas (por exemplo, twyne e colorsama) contando com erros de digitação para enganar usuários desavisados para baixá-los.
Os módulos fraudulentos reutilizam bibliotecas legítimas existentes inserindo uma declaração de importação maliciosa no script “setup.py” dos pacotes para lançar um pedaço de código Python que busca o malware a partir de um servidor remoto.
Baseado em Python o W4SP Stealer, é um trojan de código aberto, com recursos para roubar arquivos de interesse, senhas, cookies de navegador, metadados do sistema, tokens Discord, bem como dados das carteiras cripto MetaMask, Atomic e Exodus.
A Kaspersky, em agosto, descobriu duas bibliotecas chamadas pyquest e ultrarequests que foram encontradas para implantar o malware como uma carga final. Então essa não é a primeira vez que o W4SP Stealer é entregue por pacotes aparentemente benignos no repositório PyPI.
As descobertas ilustram o abuso contínuo dos ecossistemas de código aberto para propagar pacotes maliciosos que são projetados para coletar informações confidenciais e abrir caminho para ataques na cadeia de suprimentos.
Phylum, observou “Como este é um ataque contínuo com táticas em constante mudança de um invasor determinado, suspeitamos ver mais malware como este aparecendo em um futuro próximo”.