Pacotes Python maliciosos que se apresentam como ofuscadores têm como alvo os desenvolvedores com malware que assume o controle dos sistemas infectados, alerta a empresa de segurança de aplicativos Checkmarx.
Apresentando nomes que começam com ‘pyobf’ e disfarçados de ferramentas normalmente usadas por desenvolvedores, os pacotes maliciosos implantam uma carga chamada ‘BlazeStealer‘, para controlar o sistema da vítima e espioná-la.
BlazeStealer, descobriu Checkmarx, busca um script malicioso para ativar um bot Discord e fornecer aos invasores controle sobre o sistema infectado.
O código Python malicioso, ativado na instalação do pacote, recupera e executa código adicional de um recurso externo e executa um bot Discord funcionando como um poderoso backdoor.
Uma vez ativado, o bot pode roubar informações do sistema, senhas e arquivos, capturar capturas de tela, registrar pressionamentos de teclas, criptografar arquivos, desativar o Windows Defender e o Gerenciador de Tarefas, tornar a máquina inoperante e executar comandos recebidos dos invasores.
Ademais, o bot pode controlar a câmera do computador, capturando fotos e enviando-as aos invasores via Discord.
Além de estabelecer uma porta de entrada para os invasores controlarem a máquina da vítima, o malware provoca as vítimas, com mensagens ameaçadoras que afirmam a destruição imediata do sistema infectado.
Entre janeiro e outubro de 2023, a Checkmarx identificou oito pacotes Python maliciosos que transportavam o malware BlazeStealer, nomeadamente pyobftexe, pyobfusfile, pyobfexecute, pyobfpremium, pyoblite, pyobfadvance, pyobfuse, e pyobfbom.
A maioria dos que baixaram esses pacotes, afirma a empresa de segurança, está nos EUA (69%). China (12%), Rússia (5,5%) e Irlanda (3%) também foram impactados.
O papel fundamental que o software de código aberto desempenha no desenvolvimento de software torna-o um alvo atraente para os atacantes, especialmente os desenvolvedores que trabalham com informações valiosas ou confidenciais que requerem ofuscação, que têm sido o principal alvo desta campanha maliciosa.
“O domínio do código aberto continua a ser um terreno fértil para a inovação, mas exige cautela. Os desenvolvedores devem permanecer vigilantes e examinar os pacotes antes do consumo”, observa Checkmarx.