Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://thehackernews.com/2023/02/researchers-uncover-obfuscated.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #pesquisadores #descobrem #código #malicioso #ofuscado #em #pacotes #pypi #python
Descobriu-se que quatro pacotes desonestos diferentes no Python Package Index (PyPI) executam várias ações maliciosas, incluindo a instalação de malware, a exclusão do utilitário netstat e a manipulação do arquivo SSH authorised_keys.
Os pacotes em questão são aptx, bingchilling2, httops e tkint3rs, todos os quais foram baixados coletivamente cerca de 450 vezes antes de serem retirados. Enquanto o aptx é uma tentativa de representar o popular codec de áudio de mesmo nome da Qualcomm, httops e tkint3rs são typosquats de https e tkinter, respectivamente.
"A maioria desses pacotes tinha nomes bem pensados, para confundir as pessoas de propósito", disse o pesquisador de segurança e jornalista Axe Sharma.
Uma análise do código malicioso injetado no script de instalação revela a presença de uma carga útil ofuscada do Meterpreter disfarçada de "pip", um instalador de pacote legítimo para Python e que pode ser aproveitada para obter acesso de shell ao host infectado.
(adsbygoogle = window.adsbygoogle || []).push({});
Também foram realizadas etapas para remover o utilitário de linha de comando netstat usado para monitorar a configuração e a atividade da rede, bem como modificar o arquivo .ssh/authorized_keys para configurar um backdoor SSH para acesso remoto.
“Agora, este é um exemplo elegante, mas real, de malware prejudicial que conseguiu entrar no ecossistema de código aberto”, observou Sharma.
Mas, em um sinal de que o malware que se infiltra nos repositórios de software é uma ameaça recorrente, o Fortinet FortiGuard Labs descobriu cinco pacotes diferentes – web3-essential, 3m-promo-gen-api, ai-solver-gen, hypixel-coins, httpxrequesterv2 e httpxrequester – que são projetados para colher e exfiltrar informações confidenciais.
As revelações vêm quando o ReversingLabs lança luz sobre um módulo npm malicioso chamado aabquerys, projetado para se disfarçar como o pacote abquery legítimo para induzir os desenvolvedores a baixá-lo.
O código JavaScript ofuscado, por sua vez, vem com recursos para recuperar um executável de segundo estágio de um servidor remoto, que, por sua vez, contém um binário de proxy Avast (wsc_proxy.exe) conhecido por ser vulnerável a ataques de carregamento lateral de DLL.
Isso permite que o agente da ameaça invoque uma biblioteca maliciosa projetada para buscar um componente de terceiro estágio, Demon.bin, de um servidor de comando e controle (C2). "O Demon.bin é um agente malicioso com funcionalidades típicas de RAT (tróia de acesso remoto) que foi gerado usando uma estrutura de comando e controle de código aberto pós-exploração chamada Havoc", disse Lucija Valentić, pesquisadora da ReversingLabs.
Além disso, diz-se que o autor de aabquerys publicou várias versões de dois outros pacotes chamados aabquery e nvm_jquery que são suspeitos de serem iterações iniciais de aabquerys.
O Havoc está longe de ser a única estrutura de exploração C2 detectada na natureza, com criminosos aproveitando conjuntos personalizados como Manjusaka, Covenant, Merlin e Empire em campanhas de malware.
As descobertas também ressaltam o risco crescente de pacotes nefastos à espreita em repositórios de código aberto como npm e PyPi, que podem ter um impacto severo na cadeia de suprimentos de software.
Postar um comentário