.
Um pacote malicioso descoberto no Python Package Index (PyPI) é o exemplo mais recente do que os caçadores de ameaças da Kroll chamam de “democratização do cibercrime” contínua, com os criminosos criando variantes de malware a partir do código de outras pessoas.
Ele reflete a tendência como serviço em ransomwareNegação de serviço distribuída (DDoS) e outros malwares, que permitem que bandidos com pouca ou nenhuma habilidade aluguem ou comprem armas para lançar seus próprios ataques. Nesse caso, significa reunir código de várias fontes para criar o malware em pacotes carregados no PyPI.
Soltando pacotes maliciosos em PyPIGitHub, NPM, RubyGemsNamee outros repositórios, e atrair desenvolvedores para inadvertidamente colocá-los em seus produtos é uma parte crescente de ameaças contra a cadeia de suprimentos de software.
Pesquisadores da Kroll, que desenvolveram uma ferramenta para monitorar melhor o PyPI em busca de pacotes maliciosos, descobriram um chamado “colorfool” que eles apelidaram de “Colour-Blind”.
O pacote veio com um ladrão de informações completo e recursos de trojan de acesso remoto (RAT) escritos em Python. Havia apenas um arquivo Python “suspeitamente grande” com o único objetivo de baixar um arquivo da Internet, ocultá-lo dos usuários e executá-lo.
“A função, portanto, imediatamente pareceu suspeita e provavelmente maliciosa”, escreveram os pesquisadores Dave Truman e George Glass em um relatório. relatório Quinta-feira.
Havia uma série de outros indicadores de atividades suspeitas, incluindo o uso de um URL codificado para baixar recursos da Internet. O arquivo continha um script Python – code.py – com funções de roubo de informações, incluindo keylogging e cookies.
O RAT veio com uma variedade de recursos, como coletar senhas, encerrar aplicativos, fazer capturas de tela da área de trabalho do usuário, buscar dados IP e colocá-los na tela, roubar informações da carteira de criptomoedas e espionar o usuário por meio de uma webcam.
Juntando o código
Truman e Glass descreveram parte do código dentro do arquivo como “descaradamente malicioso” e disseram que um exemplo era uma função projetada para passar pelo software antivírus, adicionando sua localização ao caminho de exclusão do Microsoft Defender Antivirus no Windows.
Outras partes do código indicavam uma tentativa fraca de ofuscação – essencialmente variáveis nomeadas com um padrão simples que continha apenas dois caracteres.
Tudo isso convenceu os pesquisadores da Kroll de que eles provavelmente estavam lidando com malware composto de partes derivadas de outros.
“A combinação de ofuscação com código malicioso flagrante indica que é improvável que todo o código tenha sido desenvolvido por uma única entidade”, escreveram eles. “É possível que o desenvolvedor final tenha utilizado principalmente o código de outras pessoas, adicionando-o por meio de copiar e colar.”
Outra indicação é que o malware incluía uma função para determinar se está rodando dentro de uma máquina virtual e outra para verificar se havia ferramentas de pesquisa de segurança rodando no sistema. Esse comportamento evasivo geralmente é visto quando o invasor deseja evitar que o malware seja executado em uma caixa de proteção de segurança automática, que pode marcá-lo como malicioso.
“Neste caso, no entanto, depois que o malware obtém as informações, ele não faz nada com a maior parte delas”, escreveram eles. “Por exemplo, o resultado da pesquisa da ferramenta de pesquisa de segurança nunca é referenciado ou verificado. Esse comportamento reforça a hipótese de que o código foi plagiado de várias fontes, e o desenvolvedor final pode não ser particularmente sofisticado em seus métodos.”
O desenvolvedor do malware também inclui um jogo “Snake” incorporado que provavelmente foi copiado diretamente de um repositório do GitHub e não parece servir a um propósito, outra prova do fornecimento irregular do código.
Para Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, o que Kroll descobriu foi menos sobre a “democratização” do crime cibernético e mais sobre a “comoditização” dele.
“Atores de ameaças vêm adaptando seus modelos de negócios há algum tempo e já estão no ponto em que oferecem crime como serviço na dark web e têm corretores que podem misturar e combinar componentes de ataque para atender às necessidades específicas de um cliente, ” Parkin disse Strong The One.
Também continuarão a ocorrer ataques a repositórios de código, o que oferece aos malfeitores um caminho mais fácil para colocar seus pacotes maliciosos na frente dos desenvolvedores.
“Eles estão pulando várias etapas na cadeia de ataque ao fazer com que o alvo faça grande parte do trabalho para eles”, disse ele. “Isso os torna um alvo especialmente convidativo, e podemos esperar que os agentes de ameaças permaneçam com essa abordagem até que os repositórios implantem defesas para detê-los … Quando esses buracos forem fechados, os invasores encontrarão novos”. ®
.
