Vários desenvolvedores em linguagem Python, incluindo um mantenedor do Top.gg, o maior portal de bots do aplicativo de comunicação Discord do mundo, foram infectados com malware que rouba informações após baixar um clone malicioso de uma ferramenta altamente popular, relata a Checkmarx.
Denominado Colorama, o utilitário faz sequências de caracteres de escape ANSI funcionarem no Windows e tem mais de 150 milhões de downloads mensais. Para promover o ataque à cadeia de suprimentos, os hackers clonaram a ferramenta, inseriram código malicioso nela e colocaram a versão com malware em um domínio espelho falso que dependia de typosquatting (site fraudulento) para induzir os desenvolvedores a confundi-la com o espelho legítimo ‘files.pythonhosted.org’ .
Para espalhar o pacote carregado de malware, os invasores criaram repositórios maliciosos sob suas próprias contas e sequestraram contas de alto perfil, incluindo a conta do GitHub ‘editor-syntax’, um mantenedor da plataforma de pesquisa e descoberta Top.gg para o Discord, que tem uma comunidade de mais de 170 mil membros.
A conta provavelmente foi hackeada por meio de cookies roubados, que os invasores usaram para contornar a autenticação e realizar atividades maliciosas sem saber a senha da conta. Vários membros da comunidade Top.gg foram comprometidos como resultado disso.
Para ocultar a sua atividade nefasta nos seus repositórios maliciosos, os atacantes comprometeram simultaneamente vários ficheiros, incluindo arquivos legítimos, juntamente com aqueles que continham o link para o pacote Colorama clonado, para que se misturassem com as dependências legítimas.
“Ao manipular o processo de instalação do pacote e explorar a confiança que os usuários depositam no ecossistema de pacotes Python, o invasor garantiu que o pacote malicioso ‘colorama’ seria instalado sempre que a dependência maliciosa fosse especificada nos requisitos do projeto”, observa a Checkmarx.
Veja isso
Ataque ao PHP e Python para roubo de credenciais AWS
Python é a linguagem preferida nos ataques
Para ocultar o código malicioso no Colorama, os invasores adicionaram vários espaços em branco, empurrando o trecho para fora da tela, para que não fosse perceptível durante análises rápidas dos arquivos de origem. Eles também definiram o código a ser executado toda vez que o Colorama fosse importado, independentemente de ter sido utilizado. Depois que o código malicioso foi executado, o processo de infecção continuou com várias etapas adicionais, como baixar e executar código Python adicional, buscar as bibliotecas necessárias e configurar a persistência.
No final, os sistemas dos desenvolvedores foram infectados com malware capaz de registrar pressionamentos de teclas e roubar dados de vários navegadores — incluindo Brave, Chrome, Edge, Opera, Vivaldi e Yandex —, do Discord, de carteiras de criptomoedas, sessões do Telegram, Instagram e arquivos de computadores.
Acesse o relatório completo sobre o uso do Colorama em ataques à cadeia de suprimentos no blog da Checkmarx clicando aqui.