work-731198_640.jpg

Programadores Python alvos de hack via cadeia de suprimentos

Vários desenvolvedores em linguagem Python foram infectados após baixarem um clone da popular ferramenta Colorama repleto de malware
Da Redação
26/03/2024

Vários desenvolvedores em linguagem Python, incluindo um mantenedor do Top.gg, o maior portal de bots do aplicativo de comunicação Discord do mundo, foram infectados com malware que rouba informações após baixar um clone malicioso de uma ferramenta altamente popular, relata a Checkmarx.

Denominado Colorama, o utilitário faz sequências de caracteres de escape ANSI funcionarem no Windows e tem mais de 150 milhões de downloads mensais. Para promover o ataque à cadeia de suprimentos, os hackers clonaram a ferramenta, inseriram código malicioso nela e colocaram a versão com malware em um domínio espelho falso que dependia de typosquatting (site fraudulento) para induzir os desenvolvedores a confundi-la com o espelho legítimo ‘files.pythonhosted.org’ .

Para espalhar o pacote carregado de malware, os invasores criaram repositórios maliciosos sob suas próprias contas e sequestraram contas de alto perfil, incluindo a conta do GitHub ‘editor-syntax’, um mantenedor da plataforma de pesquisa e descoberta Top.gg para o Discord, que tem uma comunidade de mais de 170 mil membros.

A conta provavelmente foi hackeada por meio de cookies roubados, que os invasores usaram para contornar a autenticação e realizar atividades maliciosas sem saber a senha da conta. Vários membros da comunidade Top.gg foram comprometidos como resultado disso.

Para ocultar a sua atividade nefasta nos seus repositórios maliciosos, os atacantes comprometeram simultaneamente vários ficheiros, incluindo arquivos legítimos, juntamente com aqueles que continham o link para o pacote Colorama clonado, para que se misturassem com as dependências legítimas.

“Ao manipular o processo de instalação do pacote e explorar a confiança que os usuários depositam no ecossistema de pacotes Python, o invasor garantiu que o pacote malicioso ‘colorama’ seria instalado sempre que a dependência maliciosa fosse especificada nos requisitos do projeto”, observa a Checkmarx.

Veja isso
Ataque ao PHP e Python para roubo de credenciais AWS
Python é a linguagem preferida nos ataques

Para ocultar o código malicioso no Colorama, os invasores adicionaram vários espaços em branco, empurrando o trecho para fora da tela, para que não fosse perceptível durante análises rápidas dos arquivos de origem. Eles também definiram o código a ser executado toda vez que o Colorama fosse importado, independentemente de ter sido utilizado. Depois que o código malicioso foi executado, o processo de infecção continuou com várias etapas adicionais, como baixar e executar código Python adicional, buscar as bibliotecas necessárias e configurar a persistência.

No final, os sistemas dos desenvolvedores foram infectados com malware capaz de registrar pressionamentos de teclas e roubar dados de vários navegadores — incluindo Brave, Chrome, Edge, Opera, Vivaldi e Yandex —, do Discord, de carteiras de criptomoedas, sessões do Telegram, Instagram e arquivos de computadores. 

Acesse o relatório completo sobre  o uso do Colorama em ataques à cadeia de suprimentos no blog da Checkmarx clicando aqui.

Compartilhar:

Últimas Notícias