Un attore di minacce di nome Lolip0p ha caricato sul repository Python Package Index (PyPI) tre pacchetti illegali progettati per diffondere malware sui sistemi degli sviluppatori compromessi. I pacchetti – denominati colorslib (versioni 4.6.11 e 4.6.12), httpslib (versioni 4.6.9 e 4.6.11) e libhttps (versione 4.6.12) – sono stati caricati dall’autore tra il 7 gennaio 2023 e il 12 gennaio 2023. Da allora sono stati eliminati da PyPI, ma non prima di essere stati scaricati cumulativamente oltre 550 volte.
I moduli sono dotati di script di configurazione identici, progettati per invocare PowerShell ed eseguire un binario dannoso (“Oxzy.exe”) ospitato su Dropbox, ha rivelato Fortinet in un rapporto pubblicato la scorsa settimana. L’eseguibile, una volta lanciato, innesca il recupero di una fase successiva, anch’essa un binario denominato update.exe, che viene eseguito nella cartella temporanea di Windows (“%USER%\AppData\Local\Temp\”).
update.exe è segnalato dai fornitori di antivirus su VirusTotal come un ruba-informazioni in grado di rilasciare altri file binari, uno dei quali è stato rilevato da Microsoft come Wacatac. Il produttore di Windows descrive il trojan come una minaccia che “può eseguire una serie di azioni a scelta dell’hacker malintenzionato sul vostro PC”, tra cui l’invio di ransomware e altri payload. “L’autore posiziona inoltre ogni pacchetto come legittimo e pulito, includendo una convincente descrizione del progetto”, ha dichiarato Jin Lee, ricercatore dei FortiGuard Labs di Fortinet. “Tuttavia, questi pacchetti scaricano ed eseguono un eseguibile binario dannoso”.
La rivelazione arriva poche settimane dopo che Fortinet ha portato alla luce altri due pacchetti rogue, denominati Shaderz e aioconsol, che hanno capacità simili di raccogliere ed esfiltrare informazioni personali sensibili. Le scoperte dimostrano ancora una volta il flusso costante di attività dannose registrate nei più diffusi repository di pacchetti open source, in cui gli attori delle minacce sfruttano le relazioni di fiducia per inserire codice contaminato al fine di amplificare ed estendere la portata delle infezioni. Si consiglia agli utenti di prestare attenzione quando si tratta di scaricare ed eseguire pacchetti da autori non attendibili per evitare di cadere preda di attacchi alla catena di distribuzione.
