Após anos dormente, pacote de Python recebe atualização maliciosa

Após anos dormente, pacote de Python recebe atualização maliciosa

Por Dácio Castelo Branco | Editado por Claudio Yuge | 26 de Maio de 2022 às 22h20
KeepCoding/Unsplash

Sistemas de centenas de empresas do mundo inteiro podem estar em risco de sofrerem com vazamento de dados. A ameaça, porém, não é nenhum tipo de ransomware ou malware, mas sim a manipulação de um antigo pacote de código do Python que não recebia atualizações desde 2014.

A descoberta foi feita pelo pesquisador de segurança virtual Yee Ching Tok, do SANS Institute, que percebeu que o pacote ctx Python havia recebido uma atualização no último sábado (21), após anos dormente.

Ao analisar a atualização do pacote, Ching Tok percebeu que nada havia mudado além da adição de algumas linhas de códigos, que após serem interpretadas com atenção foram identificadas como instruções para exfiltração de chaves secretas (utilizadas para acesso administrativo) do Amazon Web Services (AWS) relacionadas aos sistemas em que a solução é utilizada até hoje, mesmo oito anos após sua última melhoria.

Algumas das linhas de código adicionadas no repositório de Python. (Imagem: Reprodução/SOPHOS)

O código malicioso no pacote já foi removido, e Ching Tok recomenda que os usuários da biblioteca em questão confiram se não estão executando a versão modificada para roubo de chaves do AWS. Além disso, o pesquisador de segurança identificou as mesmas instruções em um popular projeto escrito em PHP disponibilizado no GitHub que havia sido recentemente comprometido — mostrando que os controladores da ameaça tentaram atacar várias frentes do mundo de softwares.

Pacotes dormentes podem retornar, mas é bom estar atento

A situação ocorreu pelo comprometimento do domínio responsável pelo pacote, após a assinatura ter recentemente expirado. Assim, os controladores da ameaça compraram o endereço e conseguiram acesso ao código, realizando as alterações.

No fim, Ching Tok comenta que reativações de repositórios e pacotes após anos sem atualizações podem ocorrer de forma legitima, mas considerando o cenário atual da cibersegurança, é sempre bom estar atento para não cair em possíveis golpes.

Nesse contexto, o pesquisador de segurança recomenda que administradores de sistema não realizem atualizações automáticas de pacotes, mas sim sempre busquem se informar das novas versões antes de colocá-las em seus sistemas.

Além disso, no caso específico desse pacote do Python, detalhes como a notificação de atualização existir, mas o número da versão do código não ter sido alterado, por exemplo, é um sinal que pode indicar atividades suspeitas — com Ching Tok afirmando que, caso usuários prestem atenção, problemas podem ser evitados.

Fonte: SOPHOS

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.