©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ameaças cibernéticas

Disseminação de Malware por meio de Pacotes Inativos no PyPI

Inteligência Artificial

1 min read
Disseminação de Malware por meio de Pacotes Inativos no PyPI

Um pacote anteriormente inativo no repositório Python Package Index (PyPI) foi recentemente atualizado, quase dois anos após sua última modificação, com o intuito de disseminar uma nova versão do malware de roubo de informações denominado Nova Sentinel.

O pacote em questão, conhecido como django-log-tracker, fez sua primeira aparição no PyPI em abril de 2022, conforme identificado pela empresa Phylum. A detecção de uma atualização suspeita na biblioteca ocorreu em 21 de fevereiro de 2024.

Embora o repositório GitHub associado não tenha recebido atualizações desde 10 de abril de 2022, a inclusão de uma atualização maliciosa sugere um possível comprometimento da conta PyPI vinculada ao desenvolvedor.

Até o momento da remoção, o django-log-tracker foi baixado 3.866 vezes, sendo que a versão comprometida (1.0.4) registrou 107 downloads na data de sua publicação. Vale ressaltar que o pacote não está mais disponível para download no PyPI.

Contexto da ameaça

"Na atualização maliciosa, o invasor eliminou a maior parte do conteúdo original do pacote, deixando apenas os arquivos init.py e example.py", informou a Phylum.

As alterações, apesar de simples e autoexplicativas, incluíram a inserção de um executável denominado "Updater_1.4.4_x64.exe" proveniente de um servidor remoto ("45.88.180[.] 54"), seguido pela execução utilizando a função Python os.startfile().

Este binário, por sua vez, está associado ao Nova Sentinel, um malware previamente documentado pela Sekoia em novembro de 2023. Sua distribuição inicial ocorreu por meio de aplicativos falsos do Electron em sites fraudulentos que ofereciam downloads de videogames.

Mitigação

  • Remover qualquer instância da versão 1.0.4 do pacote e optar por versões mais recentes e confiáveis. 
  • Revisão de dependências em projetos existentes para garantir que não haja inclusão inadvertida de pacotes comprometidos. 


Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que prioriza riscos cibernéticos críticos para os negócios, integrando IA para segurança avançada. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Inscreva-se para mais como este.

Enter your email
Subscribe