Quatro pacotes diferentes no Índice de Pacotes Python (PyPI) foram considerados como executando uma série de acções maliciosas, incluindo a eliminação de malware, a eliminação do utilitário netstat, e a manipulação do ficheiro SSH authorized_keys.
Os pacotes em questão são aptx, bingchilling2, httopse tkint3rsTodos eles foram colectivamente descarregados cerca de 450 vezes antes de serem abatidos. Enquanto o aptx é uma tentativa de imitar o codec de áudio altamente popular com o mesmo nome, httops e tkint3rs são typosquats de https e tkinter, respectivamente.
“A maioria destes pacotes tinham nomes bem pensados, para confundir as pessoas de propósito”, o investigador de segurança e jornalista Ax Sharma disse.
Uma análise do código malicioso injectado no guião de configuração revela a presença de um ofuscado Carga útil do medidor que está disfarçado de “pipum instalador de pacotes legítimo para Python, e pode ser alavancado para obter acesso de shell ao hospedeiro infectado.
Também são tomadas medidas para remover o netstat utilitário de linha de comando que é utilizado para monitorizar a configuração e actividade da rede, bem como para modificar o .ssh/authorized_keys file para criar uma porta traseira SSH para acesso remoto.
“Agora este é um exemplo elegante mas real de malware prejudicial que entrou com sucesso no ecossistema de código aberto”, observou Sharma.
Mas num sinal de que o malware que entra furtivamente nos repositórios de software é uma ameaça recorrente, a Fortinet FortiGuard Labs descobriu cinco pacotes diferentes – web3-essencial, 3m-promo-gen-api, ai-solver-gen, hipixel-coins, httpxrequesterv2e httpxrequester – que são engendrada para colheita e exfiltração informação sensível.
As revelações vêm como ReversingLabs lança luz sobre um módulo npm malicioso chamado aabquerys que foi concebido para se mascarar como o pacote legítimo de abquery para enganar os programadores a descarregá-lo.
O código JavaScript ofuscado, por seu lado, vem com capacidades para recuperar um executável de segunda fase de um servidor remoto, o qual, por sua vez, contém um binário Avast proxy (wsc_proxy.exe) que é conhecido por ser vulnerável a DLL carga lateral ataques.
Isto permite ao actor da ameaça invocar uma biblioteca maliciosa que foi concebida para ir buscar um terceiro componente, Demon.bin, a um servidor de comando e controlo (C2).
“Demon.bin é um agente malicioso com funcionalidades típicas do RAT (trojan de acesso remoto) que foi gerado utilizando um quadro de código aberto, pós-exploração, comando e controlo denominado Havoc,” InverteringLabs researcher Lucija Valentić disse.
Além disso, diz-se que o autor de aabquerys publicou múltiplas versões de dois outros pacotes chamados aabquery e nvm_jquery que se suspeita serem iterações iniciais de aabquerys.
Havoc está longe de ser a única estrutura de exploração C2 detectada na natureza, com actores criminosos a alavancar suites personalizadas tais como Manjusaka, Covenant, Merlin, e Empire em campanhas malware.
Os resultados também sublinham o crescimento risco de pacotes nefastos à espreita em repositórios de código aberto como npm e PyPi, o que pode ter um impacto severo na cadeia de fornecimento de software.