[ Tráfego 4/Out a 2/Nov: 341.857 page views - 134.359 usuários ] - [ Newsletter 5.481 assinantes Open rate 28%]

work-731198_640.jpg

Programadores Python alvos de hack via cadeia de suprimentos

Da Redação
26/03/2024

Vários desenvolvedores em linguagem Python, incluindo um mantenedor do Top.gg, o maior portal de bots do aplicativo de comunicação Discord do mundo, foram infectados com malware que rouba informações após baixar um clone malicioso de uma ferramenta altamente popular, relata a Checkmarx.

Denominado Colorama, o utilitário faz sequências de caracteres de escape ANSI funcionarem no Windows e tem mais de 150 milhões de downloads mensais. Para promover o ataque à cadeia de suprimentos, os hackers clonaram a ferramenta, inseriram código malicioso nela e colocaram a versão com malware em um domínio espelho falso que dependia de typosquatting (site fraudulento) para induzir os desenvolvedores a confundi-la com o espelho legítimo ‘files.pythonhosted.org’ .

Para espalhar o pacote carregado de malware, os invasores criaram repositórios maliciosos sob suas próprias contas e sequestraram contas de alto perfil, incluindo a conta do GitHub ‘editor-syntax’, um mantenedor da plataforma de pesquisa e descoberta Top.gg para o Discord, que tem uma comunidade de mais de 170 mil membros.

A conta provavelmente foi hackeada por meio de cookies roubados, que os invasores usaram para contornar a autenticação e realizar atividades maliciosas sem saber a senha da conta. Vários membros da comunidade Top.gg foram comprometidos como resultado disso.

Para ocultar a sua atividade nefasta nos seus repositórios maliciosos, os atacantes comprometeram simultaneamente vários ficheiros, incluindo arquivos legítimos, juntamente com aqueles que continham o link para o pacote Colorama clonado, para que se misturassem com as dependências legítimas.

“Ao manipular o processo de instalação do pacote e explorar a confiança que os usuários depositam no ecossistema de pacotes Python, o invasor garantiu que o pacote malicioso ‘colorama’ seria instalado sempre que a dependência maliciosa fosse especificada nos requisitos do projeto”, observa a Checkmarx.

Veja isso
Ataque ao PHP e Python para roubo de credenciais AWS
Python é a linguagem preferida nos ataques

Para ocultar o código malicioso no Colorama, os invasores adicionaram vários espaços em branco, empurrando o trecho para fora da tela, para que não fosse perceptível durante análises rápidas dos arquivos de origem. Eles também definiram o código a ser executado toda vez que o Colorama fosse importado, independentemente de ter sido utilizado. Depois que o código malicioso foi executado, o processo de infecção continuou com várias etapas adicionais, como baixar e executar código Python adicional, buscar as bibliotecas necessárias e configurar a persistência.

No final, os sistemas dos desenvolvedores foram infectados com malware capaz de registrar pressionamentos de teclas e roubar dados de vários navegadores — incluindo Brave, Chrome, Edge, Opera, Vivaldi e Yandex —, do Discord, de carteiras de criptomoedas, sessões do Telegram, Instagram e arquivos de computadores. 

Acesse o relatório completo sobre  o uso do Colorama em ataques à cadeia de suprimentos no blog da Checkmarx clicando aqui.

Compartilhar: