Sonatype ha scoperto “pytoileur”, un pacchetto PyPI dannoso progettato per scaricare e installare binari Windows troianizzati in grado di sorvegliare, requisire la persistenza e rubare criptovalute. Questa scoperta fa parte di una campagna più ampia, durata mesi, denominata “Cool package”, volta a infiltrarsi nella comunità dei codificatori.
Ieri, un sistema di rilevamento automatico di malware gestito da Sonatype, noto come Sonatype Repository Firewall, ha segnalato un pacchetto PyPI appena pubblicato chiamato “pytoileur”. Il pacchetto dannoso, rintracciato come sonatype-2024-1783, aveva registrato 264 download dal suo rilascio prima che Sonatype avvertisse gli amministratori di PyPI di rimuoverlo.
Il pacchetto si descriveva come “pacchetto cool”, con una descrizione HTML che affermava che si trattava di “uno strumento di gestione delle API scritto in Python”. È interessante notare che includeva un riferimento a “pystob”, un pacchetto ormai defunto, indicando un tentativo di typosquatting per ingannare gli utenti di pacchetti legittimi come “Pyston”.
A prima vista, il file “setup.py” all’interno di “pytoileur” sembrava pulito, ma Jeff Thornhill, ricercatore di sicurezza di Sonatype, ha scoperto del codice maligno abilmente nascosto con spazi bianchi eccessivi.
“Sebbene la codifica base64 sia piuttosto standard nelle applicazioni e non offra molto in termini di mascheramento del codice dannoso, l’autore ha tentato di ‘nascondere’ questa particolare stringa codificata alla revisione umana manuale iniettandola dopo un’istruzione di stampa e includendo un paragrafo di spazi bianchi prima del codice”, ha spiegato Thornhill.
Il payload codificato in base64 è stato progettato per colpire gli utenti di Windows. Utilizzava comandi Python per scaricare un eseguibile dannoso da un server esterno (hxxp://51.77.140[.]144:8086/dl/runtime). Il binario dannoso, “Runtime.exe”, viene eseguito utilizzando comandi Windows PowerShell e VBScript. Questo eseguibile impiega misure anti-rilevamento per evitare i controlli e installa spyware aggiuntivi in grado di persistere, tra cui funzionalità di furto di informazioni e crypto-jacking.
Ax Sharma, ricercatore di Sonatype, ha scoperto che l’attore delle minacce dietro il pacchetto PyPI dannoso “pytoileur” sta pubblicando risposte false su StackOverflow, invitando le persone a installare il pacchetto dannoso.
Questa preoccupazione è amplificata dalla grande presenza di sviluppatori alle prime armi su StackOverflow, che stanno ancora imparando e potrebbero essere vittime di consigli dannosi.
Ulteriori indagini hanno rivelato che “pytoileur” fa parte di una campagna più ampia legata a pacchetti dannosi identificati in precedenza. Questi pacchetti, spesso descritti semplicemente come “Cool package”, hanno utilizzato tecniche di inganno simili dal 2023. Si camuffano da strumenti di gestione delle API o da versioni semplificate di utility ben note, prendendo di mira gli sviluppatori di varie nicchie, tra cui l’intelligenza artificiale e l’apprendimento automatico.
Uno dei pacchetti precedenti, “gpt-requests”, che sembrava rivolto agli sviluppatori di IA, nascondeva anche i payload dannosi utilizzando gli spazi bianchi. Simili a “pytoileur”, questi payload scaricano binari troianizzati destinati allo spionaggio e al furto di dati.
Il pacchetto “lalalaopti” è particolarmente degno di nota perché conteneva moduli di codice Python in chiaro per il dirottamento degli appunti, il keylogging, l’accesso remoto alla webcam e la cattura degli screenshot, evidenziando ulteriormente l’intento malevolo degli attori delle minacce dietro questa campagna.
I ricercatori di Sonatype e Checkmarx hanno identificato diversi pacchetti dannosi collegati a questa campagna, tra cui:
- gogogolokl
- gpt-richieste
- kokokoako
- lalalaopti
- pybowl
- pyclack
- pyefflorer
- pyhjdddo
- pyhulul
- piioapso
- pyjio
- pyjoul
- pykokalalz
- pykooler
- pyktrkatoo
- pilone
- piminor
- piowler
- pipiele
- pystallerer
- pistob
- pytarlooko
- pytasler
- pitoileur
- pywolle
- pywool
La ricomparsa della campagna “Cool package” attraverso “pytoileur” dimostra la persistenza delle minacce poste da attori malintenzionati negli ambienti di sviluppo software. In presenza di minacce simili, Sonatype dichiara che continuerà a espandere le proprie blocklist e a salvaguardare la comunità degli sviluppatori.