Pacotes maliciosos para Python voltam a ser usados para roubar dados
Por Felipe Demartini • Editado por Claudio Yuge |
Os repositórios oficiais de linguagens de programação continuam sendo o alvo de ataques de phishing, com atacantes simulando a aparência e recursos de softwares legítimos para distribuir vírus. A bola da vez, novamente, é o PyPI, que entrega soluções para Python, usado para disseminação de uma edição maliciosa de kits de ferramentas conhecidas, agora voltadas ao roubo de dados de desenvolvedores e empresas.
- 6 linguagens de programação que favorecem o desenvolvimento de ambientes seguros
- Por que as empresas devem prestar atenção ao desenvolvimento seguro de softwares
Na campanha, os criminosos tentam se passar pelos desenvolvedores do aiotools, que reúne diferentes recursos e utilitários para os programadores. Com um nome parecido, aiotoolsbox, eles entregam efetivamente as funcionalidades desejadas por quem faz o download, mas acompanhado de um malware voltado ao furto de informações pessoais, como segredos de acesso a sistemas ou credenciais.
A operação chamou a atenção dos especialistas da Check Point Research, que divulgaram o alerta, pela cópia completa da solução, enquanto a maioria dos golpes desse tipo se limita a utilizar apenas nomes e outras informações oficiais. De acordo com a empresa de segurança, também é notável o fato de a conta usada pelos criminosos ter sido criada originalmente em 2019, com os pacotes maliciosos sendo publicados apenas agora — um indicativo de que este era um perfil legítimo, que acabou sendo comprometido pelos bandidos.
Outros métodos de ocultamento das atividades maliciosas também são usados, como a hospedagem de malwares baixados paralelamente em servidores que também tentam simular serviços oficiais para a linguagem Python. Códigos ofuscados também estão presentes na solução para dificultar sua detecção por análises manuais e automáticas, enquanto os fragmentos usados para instalação da praga são apagados após a conclusão da infecção, deixando menos rastros.
A equipe da Check Point também encontrou um segundo pacote, publicado por outro perfil, mas aparentemente ligado à campanha. A solução async-proxy, voltada para sincronização de dados, não tenta simular ferramentas legítimas, mas baixa a edição maliciosa do aiotools, contaminando os usuários interessados nela e os expondo à mesma operação de roubo de dados de desenvolvimento.
De acordo com os pesquisadores, os pacotes maliciosos também receberam múltiplas atualizações, com modificações em arquivos de configuração e estruturas. Mudou também o IP de origem das conexões, inicialmente russo e depois alemão, também uma forma de ocultar as atividades, já que o primeiro endereço pode chamar mais atenção do que o segundo em um monitoramento de rede.
Segundo a Check Point, o alerta é quanto ao uso de soluções falsas desse tipo em golpes contra a cadeia de suprimentos. Ao baixarem ferramentas maliciosas, os desenvolvedores podem comprometer seus projetos e, a partir deles, levar o malware a mais profissionais, empresas e, finalmente, usuários, com a cadeia de exploração assumindo ares maiores do que sua disseminação original.
Por conta disso, a recomendação é de cautela no download de pacotes no PyPI e outros repositórios de código. O ideal é buscar perfis de desenvolvedores conhecidos e legítimos, que prestem suporte constante e tenham avaliações e comentários de outros usuários; evitar contas novas ou com poucas publicações, por exemplo, ajuda a manter a segurança na produção de software.