Ataque de malware ao PyPI leva à suspensão de registros para limpeza
Devido a um extenso ataque cibernético direcionado ao Python Package Index (PyPI), que serve como banco de dados primário para componentes de software baseados em Python, o registro de novos usuários e o estabelecimento de novos projetos foram momentaneamente interrompidos, a fim de mitigar os riscos potenciais associados a este esquema nefasto.
Uma tática comum empregada por atores mal-intencionados envolve o upload de pacotes falsos ou com nomes semelhantes, projetados para imitar software legítimo, aumentando assim a probabilidade de disseminação de código comprometido que pode posteriormente ser usado moderadamente em novos ataques.
À luz dos acontecimentos recentes, é importante notar que houve um aumento em certas ações que levaram os administradores do Python Package Index (PyPI) a suspender temporariamente o registo de utilizadores como forma de aliviar o comportamento prejudicial em curso.
De acordo com um relatório recente publicado pela Checkmarx, uma empresa de segurança da informação, foi observado que entidades malévolas começaram a enviar pacotes de software falsificados para o Python Package Index (PyPI) desde 27 de março, com mais de trezentas e sessenta e cinco réplicas de projetos autênticos sendo afetado. Esses pacotes fraudulentos contêm código maligno em seu arquivo “setup.py”, que é ativado durante o processo de instalação. Este código específico foi projetado para recuperar conteúdo prejudicial adicional de um servidor remoto durante a conexão.
Os cibercriminosos desenvolveram um mecanismo de evasão empregando criptografia usando o módulo Fernet, construindo dinamicamente o endereço do servidor remoto apenas durante a utilização. Essa abordagem permite a recuperação de código que posteriormente é montado em um programa de roubo de informações altamente avançado, dotado de persistência e com capacidade de extrair dados confidenciais, como credenciais de login armazenadas no navegador, tokens de sessão e detalhes de extensão de criptomoeda.
O referido documento elaborado pela Checkmarx fornece um inventário exaustivo de pacotes de software malicioso, totalizando mais de quinhentos, que estão divididos em duas instâncias distintas. Vale ressaltar que cada pacote compartilha código idêntico e foi carregado por contas individuais com diversos nomes e endereços de e-mail. Esta observação sugere a utilização de ferramentas automatizadas na orquestração da campanha perpetrada.
O PyPI já tomou precauções abrangentes durante o mês de maio, de maneira consistente com as ações atuais que estão sendo implementadas para proteger o público de condutas nefastas. Estes incidentes sublinham a importância da avaliação diligente por parte dos engenheiros de software relativamente à veracidade e fiabilidade dos elementos de código aberto utilizados nas suas iniciativas de desenvolvimento.
*️⃣ Link da fonte: