Malware que rouba dados de cartão estava em biblioteca oficial de programação
Por Felipe Demartini | Editado por Jones Oliveira | 02 de Agosto de 2021 às 12h08
Um malware focado no roubo de informações bancárias e credenciais de mensageiros instantâneos como o Discord, além de navegadores como Edge e Google Chrome, foi disponibilizado por criminosos em um repositório oficial da linguagem de programação Python, o PyPI. A praga estava presente em oito pacotes disponibilizados publicamente que, de acordo com os números oficiais, teriam acumulado mais de 30 mil downloads — esse total, entretanto, pode ser questionável.
- Discord é usado novamente por criminosos como central de distribuição de malware
- Ciberataques aumentaram 29% no 1º semestre e continuam em alta
- Criminosos driblam detecção de malwares usando linguagens pouco conhecidas
O disfarce pode permitir que as pragas fossem instaladas nos computadores das vítimas e, também, ajudava a ocultar as atividades de sistemas de segurança. De acordo com os especialistas responsáveis pela descoberta, esse tipo de vulnerabilidade levaria a ataques contra a cadeia de suprimentos, quando os malwares estão escondidos dentro de soluções legítimas e liberadas para funcionar, sem que dispositivos de proteção entendam suas ações como maliciosas.
Uma vez funcionando, o malware usa a ofuscação proporcionada pelos softwares legítimos para realizar a leitura de sistemas de salvamento de senhas em navegadores. De lá, são obtidas as credenciais de acesso a sistemas bancários e do mensageiro Discord, bastante usado pela comunidade gamer — o mesmo aplicativo também é utilizado pelo ataque para realizar o upload dos dados a servidores remotos, controlados pelos criminosos responsáveis.
Segundo os pesquisadores, os principais focos de ação da campanha eram as senhas armazenadas nos browsers Edge e Google Chrome. Por isso, aos desenvolvedores que eventualmente trabalham com Python, a recomendação é para que avaliem as senhas cadastradas nos navegadores e realizem a troca imediata, bem como outras credenciais que tenham sido compartilhadas em outros serviços. Os cartões armazenados devem ser cancelados.
Por outro lado, Dustin Ingram, um dos mantenedores do PyPI, indica que os números de download nem sempre são fieis, pois podem ser significativamente inflados por redirecionamentos ou sistemas massificados. Enquanto isso, dados de sistemas que acompanham as estatísticas reais de acesso aos pacotes, excluindo redirecionamentos ou raspadores, apontam para algumas dezenas de downloads anteriores à remoção dos malwares. São números baixos, que mostram pouca eficácia das pragas disponibilizadas, que foram retiradas do ar assim que a administração do repositório foi avisada.
Ainda assim, a JFrog volta seus olhares para a moderação do PyPI, indicando que esta não é nem de longe a primeira vez que pacotes maliciosos são publicados no repositório oficial da linguagem de programação. A ideia de estar baixando soluções de um marketplace oficial traz uma aparência de legitimidade, com os especialistas afirmando que os responsáveis precisam tomar mais cuidado com a aprovação daquilo que é disponibilizado ali, em prol de desenvolvedores iniciantes que podem não conhecer bem as soluções.
Texto atualizado em 05/08/2021 com mais informações sobre a presença das pragas no repositório e seu total de downloads.
Fonte: JFrog