Hackers estão usando do Stack Overflow de uma maneira no mínimo inusitada para espalhar malwares através de perguntas de usuários e enviando um pacote malicioso do PyPi que instala malware para roubo de informações no Windows.
O pesquisador da Sonatype, Ax Sharma, descobriu que este novo pacote PyPi faz parte de uma campanha conhecida como 'Cool package', nomeada assim devido a uma string no metadata do pacote, que visava usuários do Windows no ano passado.
Este pacote PyPi é chamado 'pytoileur' e foi enviado por hackers ao repositório PyPi durante o final de semana, alegando ser uma ferramenta de gerenciamento de API. Observe que o pacote possui a string "Cool package" no campo de metadados Summary, indicando que faz parte da campanha em andamento.
Malicious pytoileur PyPi package
Source: Sonatype
Pacotes maliciosos como este geralmente são enviados usando nomes semelhantes a outros pacotes populares, um processo conhecido como typo-squatting.
No entanto, com este pacote, os hackers adotaram uma abordagem mais inovadora, respondendo perguntas no Stack Overflow e promovendo o pacote como uma solução.
Stack Overflow answer promoting malicious PyPi package
Source: BleepingComputer
Como o Stack Overflow é uma plataforma utilizada por muitos desenvolvedores de todos os níveis para fazer e responder perguntas, oferece um ambiente perfeito para espalhar malware disfarçado como interfaces de programação e bibliotecas.
"Observamos ainda que uma conta do Stack Overflow chamada 'EstAYA G', criada há aproximadamente 2 dias, está agora explorando os membros da comunidade da plataforma que buscam ajuda para depuração [1, 2, 3], direcionando-os a instalar este pacote malicioso como uma 'solução' para seus problemas, mesmo que a 'solução' não esteja relacionada às perguntas postadas pelos desenvolvedores", explicou Sharma no relatório da Sonatype.
Neste caso, o pacote pytoileur contém um arquivo 'setup.py' que adiciona um comando codificado em base64 com espaços para que fique oculto, a menos que você habilite a quebra de linha no seu IDE ou editor de texto.
Obfuscated command to execute in setup.py
Source: BleepingComputer
Quando desofuscado, este comando baixa um executável chamado 'runtime.exe' (VirusTotal) de um site remoto e o executa.
Deobfuscated Base64-encoded command
Source: BleepingComputer
Este executável é na verdade um programa Python convertido em um .exe que atua como um malware de roubo de informações, coletando cookies, senhas, histórico do navegador, cartões de crédito e outros dados dos navegadores web.
Ele também parece buscar por documentos com frases específicas e, se encontradas, roubar os dados também.
Todas essas informações são então enviadas de volta ao atacante, que pode vendê-las em mercados da dark web ou usá-las para comprometer outras contas pertencentes à vítima.
Embora pacotes maliciosos do PyPi e malwares de roubo de informações não sejam novidade, a estratégia dos hackers de se passarem por colaboradores prestativos no Stack Overflow é uma abordagem interessante, pois permite explorar a confiança e autoridade do site na comunidade de codificação.
Esta abordagem serve como um lembrete das táticas em constante mudança dos hackers e, infelizmente, ilustra porque você nunca pode confiar cegamente no que alguém compartilha online.
Em vez disso, os desenvolvedores devem verificar a fonte de todos os pacotes que adicionam aos seus projetos e, mesmo que pareçam confiáveis, verificar o código (com a quebra de linha habilitada) em busca de comandos incomuns ou ofuscados que serão executados.
Via - BC
Comments