Pesquisadores descobrem dezenas de pacotes Python no registro PyPI que estão enviando o malware W4SP Stealer
Os pacotes, listados abaixo, são typosquats – os agentes de ameaça os publicam e os nomeiam de forma semelhante a bibliotecas Python conhecidas, na esperança de que os desenvolvedores cometam erros de digitação ao tentar buscar por uma biblioteca real.
O relatório da empresa de segurança de cadeia de suprimentos de software Phylum listou 29 pacotes que contém código ofuscado com o W4SP Stealer:
- algorithmic
- colorsama
- colorwin
- curlapi
- cypress
- duonet
- faq
- fatnoob
- felpesviadinho
- iao
- incrivelsim
- installpy
- oiu
- pydprotect
- pyhints
- pyptext
- pyslyte
- pystyle
- pystyte
- pyurllib
- requests-httpx
- shaasigma
- strinfer
- stringe
- sutiltype
- twyne
- type-color
- typestring
- typesutil
Com o “typesutil”, por exemplo, os pesquisadores descobriram que o código malicioso estava sendo injetado por meio da instrução "import", em uma base de código emprestada de bibliotecas legítimas.
O benefício que os invasores obtêm ao copiar um pacote legítimo é que, como a página de destino PyPI do pacote é gerada a partir do setup.py e do README.md, os usuários imediatamente têm uma página de destino com aparência real.
Código Python ofuscado encontrado em typosquats.
Todos os pacotes foram baixados, ao todo, mais de 5.700 vezes, com base nas estatísticas do Pepy.tech.