Sonatype continua a scoprire un numero significativo di pacchetti dannosi all’interno dei registri software PyPI e npm.
Tra i pacchetti segnalati ci sono diversi pacchetti Python pubblicati su PyPI, mascherati da librerie legittime che prendono il nome dalla popolare libreria “colors” di npm.
I pacchetti dannosi, che includono nomi come “broke-rcl”, “brokescolors” e “trexcolors”, erano destinati esclusivamente al sistema operativo Windows. Una volta installati, questi pacchetti avviavano il download e l’esecuzione di un trojan ospitato sui server di Discord.
Sonatype ha prontamente segnalato queste scoperte a PyPI, ottenendo la rimozione dei pacchetti dannosi e dell’account utente associato.
Un altro pacchetto dannoso, “trexcolors”, che prende il nome dalla libreria npm “colors”, è stato scoperto scaricare ed eseguire un trojan noto come “trex.exe” al momento dell’installazione.
Questo trojan, rilevato da VirusTotal, funziona come ruba-informazioni e incorpora tecniche di evasione per impedire l’analisi e gli sforzi di reverse engineering.
Malware multipiattaforma: Libiobe
Oltre ai pacchetti sopra citati, Sonatype ha identificato un pacchetto PyPI denominato “libiobe”, probabilmente ispirato alla libreria legittima “iobes”.
A differenza dei pacchetti specifici per Windows, “libiobe” mirava sia ai sistemi operativi Windows che Unix.
Su Windows, il pacchetto distribuiva un eseguibile infetto da trojan, denominato “V0d220823bb829d3fcc62d10adf.exe”, nascosto nel codice sorgente come stringa codificata in base64.
Sui sistemi Linux/Unix, invece, è stato eseguito un codice Python minificato, anch’esso codificato in base64, che ha inviato dati di fingerprinting del sistema a un endpoint Telegram.
Codice offuscato: FNBOT2, TAGADAY e ZUPPA
Oltre ai pacchetti PyPI e npm che imitano la libreria “colors”, l’analisi di Sonatype ha rivelato codice offuscato nei pacchetti denominati FNBOT2, TAGADAY e ZUPPA.
Questi pacchetti utilizzano uno schema simile a quello osservato in precedenti casi di attacchi cryptominer, utilizzando sei variabili denominate magia, amore, dio, destino, gioia e fiducia.
La tecnica di offuscamento utilizzata è comunemente facilitata da strumenti online, come quello fornito da development-tools.net.
La scoperta di questi pacchetti dannosi da parte di Sonatype mette in evidenza le minacce persistenti che devono affrontare i registri di software open-source come PyPI e npm. Anche se i pacchetti identificati non introducono nuovi payload o tattiche, servono a ricordare i continui tentativi di sfruttare le vulnerabilità negli ecosistemi open-source da parte di attori malintenzionati.
