Scroll Top

Phylum scopre un malware mirato camuffato in un pacchetto Python

Schermata 2024-05-22 alle 13.56.22

Gli esperti di cybersicurezza di Phylum hanno individuato un payload dannoso incorporato in un popolare pacchetto Python sul repository PyPI. Il pacchetto, denominato requests-darwin-lite, è una variante non autorizzata della libreria requests, ampiamente utilizzata.

Il pacchetto requests-darwin-lite è stato abilmente progettato per emulare la sua controparte legittima, ma includeva un binario Go nascosto in un file immagine sovradimensionato che fingeva di essere un semplice logo. Questo file – un PNG etichettato come immagine della barra laterale – pesava insolitamente circa 17 MB, in netto contrasto con le dimensioni normali di circa 300 kB della versione autentica.

Durante l’installazione del pacchetto, se l’ambiente di installazione era macOS, veniva attivata una classe di comando specializzata “PyInstall”. Questa classe esegue un comando codificato in base64 che estrae l’UUID (Universal Unique Identifier) del sistema.

Il codice verificava la presenza di un UUID specifico, indicando un attacco altamente mirato. Se l’UUID non corrispondeva, l’installazione proseguiva senza distribuire il malware. Ciò suggerisce che gli aggressori stavano testando la distribuzione o avevano in mente un obiettivo molto specifico.

Quando le condizioni erano soddisfatte, il file PNG sovradimensionato veniva elaborato per estrarre il binario nascosto, che veniva poi reso eseguibile ed eseguito in background, dando di fatto agli aggressori il controllo del computer. L’analisi dei file ha identificato il binario come un componente di OSX/Silver, un framework C2 (comando e controllo) simile a Cobalt Strike, ma meno conosciuto e quindi con minori probabilità di essere rilevato.

Phylum ha notato che le versioni precedenti di questo pacchetto includevano il gancio di installazione dannoso e il binario impacchettato. Tuttavia, le versioni successive – identificate come 2.28.0 e 2.28.1 – hanno ridotto queste caratteristiche aggressive; la prima non esegue più il binario al momento dell’installazione e la seconda è del tutto priva dei componenti dannosi.

La scoperta ha provocato una segnalazione immediata a PyPI, che ha portato alla rimozione di tutte le versioni del pacchetto dal repository. Questa sequenza di eventi sottolinea la necessità di vigilare nella comunità open-source, dove la confusione delle dipendenze e gli attacchi mirati stanno diventando sempre più sofisticati.

Questo incidente ci ricorda che gli aggressori continuano ad evolvere i loro metodi per sfruttare gli ecosistemi open-source, sfruttando pacchetti apparentemente innocenti per distribuire malware. È necessario aumentare la consapevolezza e le misure preventive in tutta la comunità tecnologica per salvaguardarsi da questi attacchi.

Post Correlati