Administradores de um repositório muito utilizado para a linguagem de programação Python suspenderam temporariamente algumas funções durante a noite devido a uma "campanha de upload de malware".
O Índice de Pacotes Python (PyPI) disse ter restaurado os serviços na madrugada de quinta-feira após bloquear a criação de novos projetos e o registro de novos usuários por cerca de 10 horas.
O PyPI é uma parte fundamental da cadeia de fornecimento de software, permitindo que desenvolvedores compartilhem e baixem pedaços úteis de código Python. O anúncio do PyPI não forneceu detalhes, mas pesquisadores da empresa de cibersegurança Checkmarx disseram que estão investigando uma campanha de malware que parecia estar relacionada ao encerramento das atividades.
Analistas de outra empresa de segurança, a Phylum, publicaram pesquisas semelhantes. "Este é um ataque em várias etapas e teve como objetivo roubar carteiras de criptomoeda, dados sensíveis dos navegadores (cookies, dados de extensões, etc.) e várias credenciais", disse a equipe da Checkmarx. Como muitas campanhas de malware envolvendo repositórios de software, o incidente do PyPI envolveu tentativas de enganar os usuários para baixar pacotes de código que parecem legítimos, mas que, na verdade são maliciosos.
Pesquisadores da Checkmarx e da Phylum disseram que os atacantes usaram a técnica de typosquatting - nomeando um arquivo de forma que pareça ser um pacote comum, mas que pode ter uma letra fora do lugar ou uma a mais. Em alguns casos, "tudo o que é preciso é um único dedo fora do lugar no teclado para que sua máquina seja comprometida", disse a Phylum.
A Phylum e a Checkmarx alertaram que há campanhas de malware similares a caminho. "Embora a resposta rápida e incisiva do PyPI sem dúvida tenha ajudado a mitigar as consequências desse ataque, vale ressaltar que nem todos os ecossistemas são tão rápidos e eficazes para lidar com esse tipo de ataque", disse a equipe da Phylum.
O malware parece ser persistente, também, disse a Checkmarx. Quando um desenvolvedor começa a trabalhar com um pacote contaminado, o malware é executado silenciosamente e pode sobreviver a uma reinicialização do sistema. Os atacantes visaram desenvolvedores que trabalham com elementos populares, como Pillow, que ajuda o software a lidar com imagens, e Colorama, usado para colorir texto.
A Checkmarx publicou uma pesquisa separada na segunda-feira sobre uma campanha de malware envolvendo Colorama. O PyPI suspendeu pela última vez a criação de novos usuários em dezembro de 2023 devido a um aumento nos "usuários maliciosos e projetos maliciosos".
Via - The Record
Comments