Pacotes com códigos maliciosos são usados para roubar criptomoedas
Por Felipe Demartini • Editado por Claudio Yuge | •
Nada menos do que 451 pacotes com códigos maliciosos foram hospedados no repositório PyPi como parte de uma campanha de furto de criptomoedas. Os itens tentavam se passar por opções conhecidas e populares no ecossistema Python e, quando baixados, instalavam uma extensão maliciosa no navegador Google Chrome, capaz de desviar transações realizadas com os ativos financeiros.
- Dicas básicas para a proteção de dados durante o desenvolvimento de softwares
- 6 linguagens de programação que favorecem o desenvolvimento de ambientes seguros
De acordo com a empresa de cibersegurança Phylum, as centenas de pacotes fazem parte de uma campanha em andamento desde novembro do ano passado. O que começou com apenas 27 opções perigosas se multiplicou rapidamente, com o uso de caracteres no idioma chinês em funções e nomes de variáveis, além de nomes com letras trocadas para que os responsáveis pela instalação não percebam estarem baixando uma versão perigosa.
Bibliotecas como tensorflow, cryptocompare, selenium, colorama, yfinance, pandas, scrapy e outras estão entre as utilizadas para a realização dos golpes. De acordo com a Phylum, são de 13 a 38 versões maliciosas para cada um dos pacotes cuja identidade é furtada, ampliando a possibilidade de download por engano pelos usuários.
Outras técnicas de ofuscação, como o uso de funções Python e operações aritméticas para gerar strings, ajudam a ofuscar as atividades maliciosas realizadas pelos pacotes. Segundo os especialistas, é um disfarce fácil de ser quebrado para quem souber o que está vendo, mas que pode passar despercebido no cotidiano de desenvolvimento de software.
Além do Google Chrome, o ataque também atinge outros navegadores baseados em Chromium, como o Microsoft Edge, Brave e Opera. Em todos os casos, há a instalação de um plug-in que fica monitorando o uso; quando a inserção de uma carteira é detectada, o malware substituiu os dados por um endereço pertencente aos criminosos, com a transação sendo feita diretamente a eles. Pelo menos oito modalidades financeiras são visadas nessa exploração.
Os especialistas pedem atenção no download de pacotes, mesmo durante o uso de repositórios reconhecidos. Os usuários devem prestar atenção em desenvolvedores e terem o olho vivo para possíveis erros de digitação, baixando apenas as bibliotecas oficiais. Números de downloads, comentários e contas oficiais são indicadores de acesso às soluções legítimas, enquanto aquelas com contas recém-criadas ou pouca interação devem ser deixadas de lado.
Fonte: Phylium