O repositório oficial de software program para a linguagem Python, Índice de pacote Python (PyPI)foi alvo de um complexo ataque à cadeia de suprimentos que parece ter envenenado com sucesso pelo menos dois projetos legítimos com malware de roubo de credenciais, disseram pesquisadores na quinta-feira.
Funcionários do PyPI disse na semana passada que os contribuidores do projeto estavam sob um ataque de phishing que tentou induzi-los a divulgar suas credenciais de login da conta. Quando bem-sucedidos, os phishers usavam as credenciais comprometidas para publicar malware que se apresentava como a versão mais recente de projetos legítimos associados à conta. A PyPI derrubou rapidamente as atualizações comprometidas e pediu a todos os colaboradores que usassem formas de autenticação de dois fatores resistentes a phishing para proteger melhor suas contas.
Hoje recebemos relatos de uma campanha de phishing direcionada a usuários do PyPI. Este é o primeiro ataque de phishing conhecido contra PyPI.
Estamos publicando os detalhes aqui para aumentar a conscientização sobre o que provavelmente é uma ameaça contínua.
— Índice de pacote Python (@pypi) 24 de agosto de 2022
Na quinta-feira, pesquisadores das empresas de segurança SentinelOne e Checkmarx disseram que os ataques à cadeia de suprimentos faziam parte de uma campanha maior de um grupo que está ativo desde pelo menos o last do ano passado para espalhar malware de roubo de credenciais que os pesquisadores estão chamando de JuiceStealer. Inicialmente, o JuiceStealer foi difundido por meio de uma técnica conhecida como typosquatting, na qual os agentes de ameaças semeavam o PyPI com centenas de pacotes que se assemelhavam aos nomes dos já estabelecidos, na esperança de que alguns usuários os instalassem acidentalmente.
O JuiceStealer foi descoberto no VirusTotal em fevereiro, quando alguém, possivelmente o agente da ameaça, enviou um aplicativo Python que instalou o malware clandestinamente. JuiceStealer é desenvolvido usando a estrutura de programação .Internet. Ele procura por senhas armazenadas pelo Google Chrome. Com base nas informações coletadas do código, os pesquisadores vincularam o malware à atividade que começou no last de 2021 e evoluiu desde então. Uma conexão provável é com o Nowblox, um website fraudulento que pretendia oferecer Robux grátis, a moeda on-line para o jogo. Roblox.
Com o tempo, o agente da ameaça, que os pesquisadores estão chamando de JuiceLedger, começou a usar aplicativos fraudulentos com tema de criptografia, como o bot Tesla Buying and selling, que foi entregue em arquivos zip que acompanham software program legítimo adicional.
“O JuiceLedger parece ter evoluído muito rapidamente de infecções oportunistas e de pequena escala apenas alguns meses atrás para a realização de um ataque à cadeia de suprimentos em um grande distribuidor de software program”, escreveram os pesquisadores em um relatório. publicar. “A escalada de complexidade no ataque aos contribuidores do PyPI, envolvendo uma campanha de phishing direcionada, centenas de pacotes typosquatted e aquisições de contas de desenvolvedores confiáveis, indica que o agente da ameaça tem tempo e recursos à sua disposição”.
O PyPI começou a oferecer aos colaboradores chaves gratuitas baseadas em {hardware} para uso no fornecimento de um segundo fator de autenticação não phishing. Todos os contribuidores devem mudar para esta forma mais forte de 2FA imediatamente. As pessoas que baixam pacotes do PyPI—ou de qualquer outro repositório de código aberto—devem ter um cuidado additional para garantir que o software program que estão baixando seja legítimo.
