Ricercatori di ESET hanno identificato un insieme di 116 pacchetti malevoli nel repository Python Package Index (PyPI), progettati per infettare sistemi Windows e Linux con un backdoor personalizzato. Questa scoperta solleva preoccupazioni significative per la sicurezza nell’ecosistema open-source.
Dettagli dei Pacchetti Malware
In alcuni casi, il payload finale è una variante del famigerato W4SP Stealer, o un semplice monitor degli appunti per rubare criptovalute, o entrambi. I pacchetti sono stati scaricati oltre 10.000 volte dal maggio 2023. Gli attori di minaccia dietro questa attività hanno utilizzato tre tecniche per inserire codice malevolo nei pacchetti Python: tramite uno script test.py, incorporando PowerShell nel file setup.py e includendolo in forma offuscata nel file init.py.
Obiettivi e Tecniche degli Attacchi
Indipendentemente dal metodo utilizzato, l’obiettivo finale della campagna è compromettere l’host bersaglio con malware, principalmente un backdoor capace di esecuzione di comandi remoti, esfiltrazione di dati e cattura di screenshot. Il modulo backdoor è implementato in Python per Windows e in Go per Linux. In alternativa, le catene di attacco culminano anche nel dispiegamento di W4SP Stealer o di un malware clipper, progettato per monitorare attentamente l’attività degli appunti della vittima e sostituire l’indirizzo del portafoglio originale, se presente, con un indirizzo controllato dall’attaccante.
Impatto sull’Ecosistema Open-Source
Questo sviluppo è l’ultimo di una serie di pacchetti Python compromessi rilasciati dagli attaccanti per avvelenare l’ecosistema open-source e distribuire una varietà di malware per attacchi alla catena di approvvigionamento. È anche l’ultima aggiunta a un flusso costante di pacchetti PyPI fasulli che hanno agito come un canale furtivo per distribuire malware stealer. A maggio 2023, ESET ha rivelato un altro cluster di librerie progettate per propagare Sordeal Stealer, che prende in prestito le sue caratteristiche da W4SP Stealer.
Consigli per gli Sviluppatori Python
Gli sviluppatori Python dovrebbero esaminare attentamente il codice che scaricano, controllando specialmente queste tecniche, prima di installarlo sui loro sistemi. La divulgazione segue anche la scoperta di pacchetti npm che prendevano di mira un’istituzione finanziaria non nominata come parte di un “esercizio di simulazione di avversari avanzati”.