Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Criptomoedas alvo de 2 pacotes maliciosos descobertos no repositório open-source mais popular do mundo

Criptomoedas alvo de 2 pacotes maliciosos descobertos no repositório open-source mais popular do mundo
Share it:

 



Criptomoedas alvo de 2 pacotes maliciosos descobertos no repositório open-source mais popular do mundo



A 8 de Agosto, a CheckPoint publicou um relatório sobre a descoberta de 10 pacotes Python maliciosos em PyPI, o repositório mais comummente utilizado pelos programadores de software. PyPI. No seguimento desta pesquisa, peritos Kaspersky utilizaram o sistema automatizado interno para monitorizar repositórios de código aberto e descobriram 2 pacotes maliciosos ainda mais perigosos no mesmo repositório. Mascarados de um dos mais populares pacotes open-source chamado "requests", roubam dados de carteiras criptográficas, Discord tokens, cookies, e até credenciais da Steam e do Minecraft dos dispositivos das vítimas, afetando potencialmente milhões de utilizadores.

Fingindo ser um dos pacotes open-source mais populares, apelidado de 'requests', a única diferença em relação aos pacotes maliciosos Python está no nome - 'ultrarequests' e 'pyquest' em vez do nome original. Para enganar as vítimas na instalação de um pacote malicioso, os atacantes utilizaram a descrição de pacotes 'requests' legítimos para falsificar números de instalação de download e revisões de utilizadores. As ligações na descrição também conduzem a páginas reais do pacote de 'requests', bem como ao correio electrónico do seu autor.


A descrição do pacote malicioso contém estatísticas falsas sobre o número de instalações e avaliações



Após várias fases de ocultação do guião, os utilizadores recebem um Trojan escrito em Python, apelidado de W4SP Stealer pelo seu autor, em código. O malware pode guardar cookies e passwords de navegadores, recolher dados de carteiras criptográficas populares como MetaMask, Atomic e Exodus, bem como recolher Discord tokens e credenciais da Steam e do Minecraft. Utilizando estes dados, os atacantes podem rapidamente entrar nas contas, e sequestrá-las, drenando as contas das vítimas.

Todos os dados recolhidos são enviados para o operador através de um web hook Discord e entregues num formato de interface personalizado, onde o agressor pode ver rapidamente o e-mail, telefone, IP e informações de facturação da vítima.



A interface da informação da vítima que os agressores recebem depois de o malware ser executado no dispositivo afetado

Mesmo que a vítima decida alterar o endereço de e-mail, palavra-passe ou informação de facturação para se proteger, o malware continuará a recolher a informação alterada e a enviá-la aos atacantes através do Discord até que o malware seja completamente removido do dispositivo. Os atacantes também inseriram no código um script especial para conseguir persistência no dispositivo infectado. No entanto, os atacantes compilaram código incorrecto, pelo que este método não funciona correctamente, pelo que a persistência não é atingida

O ladrão também analisa o histórico de navegação e depois envia uma lista de credenciais de websites com URLs contendo palavras-chave 'mail', 'card', 'bank', 'buy', 'sell'. Curiosamente, a lista de palavras-chave também contém múltiplas palavras francesas: 'mot de passe' (palavra-chave), 'mdp' (abreviatura de 'mot de passe'), 'banque' (banco), 'compte' (conta), que sugerem que os atacantes estão provavelmente a visar principalmente os utilizadores francófonos.

"Há muito tempo atrás, os programadores aperceberam-se que demora demasiado tempo a escrever código repetitivo para cada repositório criado pela aplicação - plataformas abertas onde qualquer programador pode partilhar pacotes open-source com código para acelerar o processo de desenvolvimento. A sua popularidade e abertura para carregar qualquer pacote torna-os extremamente vulneráveis a ataques de cibercriminosos, uma vez que podem potencialmente afetar milhares de utilizadores de uma só vez. Tais ataques não são incomuns uma vez que - por exemplo - descobrimos recentemente quatro pacotes maliciosos no repositório npm, à procura de Discord Tokens e informações de cartão de crédito. É por isso que tudo o que se descarrega, mesmo repositórios respeitáveis, não é de confiança por defeito", comenta Leonid Bezvershenko, investigador de segurança da Equipa Global de Pesquisa e Análise da Kaspersky.

"Já comunicámos estes pacotes maliciosos à equipa de segurança PyPI e acrescentámos deteções deste malware aos nossos produtos, para que os utilizadores que executam as nossas soluções possam identificar se foram infectados e remover o malware", acrescenta Igor Kuznetsov, investigador chefe de segurança da Equipa Global de Pesquisa e Análise da Kaspersky.

Os produtos Kaspersky detectaram o W4SP stealer como Trojan.Python.Inject.d, Trojan.Python.Agent.gj.

Para saber mais sobre o W4SP Stealer, leia o relatório completo na Securelist

Para se proteger de malware escondido em pacotes open-source, a Kaspersky recomenda o seguinte

  • Os repositorios Open-source permitem a qualquer pessoa publicar os seus próprios pacotes, e nem todos eles são completamente seguros. Por exemplo, os atacantes podem fazer-se passar por pacotes Open-source populares alterando uma ou duas letras no nome para enganar o utilizador a pensar que estão a descarregar o pacote genuíno. Por conseguinte, recomendamos que fiquem atentos e que não tratem os pacotes como se fossem de confiança.

  • Em geral, o desenvolvimento ou construção de ambientes são alvos convenientes para os atacantes que tentam organizar ataques na cadeia de abastecimento. Isso significa que tais ambientes requerem urgentemente uma forte protecção antimalware, como a Kaspersky Hybrid Cloud Security

  • Se quiser ser um dos primeiros a saber sobre novas campanhas maliciosas difundidas através de código open-source , subscreva os feeds e relatórios de ameaças, tais como os fornecidos através do Portal de Inteligência de Ameaças.
Share it:

info

Post A Comment:

0 comments: