L’attore di minacce Lolip0p ha caricato sul repository Python Package Index (PyPI) tre pacchetti malevoli.
I pacchetti sono progettati per diffondere malware sui sistemi degli sviluppatori compromessi.
PyPI, i tre pacchetti malevoli
Questi sono i pacchetti che installano malware:
- colorslib (versioni 4.6.11 e 4.6.12);
- httpslib (versioni 4.6.9 e 4.6.11);
- libhttps (versione 4.6.12).
I pacchetti sono stati caricati dall’autore tra il 7 e il 12 gennaio 2023. Da allora sono stati eliminati da PyPI, ma non prima di essere stati scaricati cumulativamente oltre 550 volte.
Fortinet ha rivelato in un rapporto, pubblicato la scorsa settimana, che i moduli sono dotati di script di configurazione identici. E sono progettati per invocare PowerShell ed eseguire un binario dannoso (“Oxzy.exe”) ospitato su Dropbox.
L’eseguibile, una volta lanciato, innesca il recupero di una fase successiva, anch’esso un binario denominato update.exe, che viene eseguito nella cartella temporanea di Windows (“%USER%AppDataLocalTemp”).
update.exe è segnalato dai fornitori di antivirus su VirusTotal come un ruba-informazioni in grado di rilasciare altri file binari, uno dei quali è stato rilevato da Microsoft come Wacatac.
Il produttore di Windows descrive il trojan come una minaccia che “può eseguire una serie di azioni a scelta dell’hacker malintenzionato sul vostro PC”, tra cui l’invio di ransomware e altri payload.
Riportiamo la dichiarazione di Jin Lee, ricercatore dei FortiGuard Labs di Fortinet:
L’autore posiziona ogni pacchetto come legittimo e pulito, includendo una convincente descrizione del progetto. Tuttavia, questi pacchetti scaricano ed eseguono un eseguibile binario dannoso.
Pacchetti che rubano informazioni sensibili
La rivelazione arriva settimane dopo che Fortinet ha portato alla luce altri due pacchetti rogue denominati Shaderz e aioconsol, che hanno capacità simili di raccogliere ed esfiltrare informazioni personali sensibili.
Le scoperte dimostrano ancora una volta il flusso costante di attività dannose registrate nei più diffusi repository di pacchetti open source.
Gli attori delle minacce sfruttano le relazioni di fiducia per inserire codice contaminato al fine di amplificare ed estendere la portata delle infezioni. Non è la prima volta che un malware viene distribuito attraverso pacchetti apparentemente innocui nel repository PyPI: ne abbiamo parlato in questo articolo.
Si consiglia agli utenti di prestare attenzione quando si tratta di scaricare ed eseguire pacchetti da autori non attendibili per evitare di cadere preda di attacchi alla catena di distribuzione.