Il Python Package Index (PyPI) ha sospeso la creazione di nuovi progetti e la registrazione degli utenti per mitigare una campagna di upload di malware in corso. Questa mossa arriva dopo che i ricercatori di sicurezza di Checkmarx hanno scoperto una campagna che coinvolge più pacchetti dannosi legati agli stessi attori della minaccia.
Gli aggressori stanno prendendo di mira le vittime attraverso attacchi di typosquatting, inducendo gli utenti a installare pacchetti Python dannosi attraverso la loro interfaccia a riga di comando. Questo attacco in più fasi mira a rubare portafogli di criptovalute, dati sensibili del browser come cookie e dati delle estensioni e varie credenziali.
Il payload dannoso impiega anche un meccanismo di persistenza per sopravvivere ai riavvii del sistema, garantendo l’accesso continuo alle macchine compromesse.
Pacchetti maligni di typosquatting
Tra il 27 e il 28 marzo 2024, diversi pacchetti Python dannosi sono stati caricati su PyPI, probabilmente utilizzando strumenti di automazione. Questi pacchetti contenevano codice maligno all’interno dei loro file setup.py, consentendo l’esecuzione automatica al momento dell’installazione.
I file setup.py contenevano codice offuscato e crittografato utilizzando il modulo di crittografia Fernet. Al momento dell’installazione, questo codice veniva eseguito, innescando il recupero di un payload aggiuntivo da un server remoto. L’URL del payload è stato costruito dinamicamente aggiungendo il nome del pacchetto come parametro di query.
Una volta decriptato, il payload recuperato ha rivelato un ampio info-stealer progettato per raccogliere informazioni sensibili dal computer della vittima, tra cui portafogli di criptovalute, dati del browser e credenziali.
In risposta alla campagna di malware, PyPI ha temporaneamente sospeso la creazione di nuovi progetti e la registrazione di nuovi utenti. Questa misura mira a mitigare la minaccia in corso mentre l’organizzazione indaga e affronta il problema.
L’elenco completo dei pacchetti scoperti da Checkmarx è disponibile qui.
