🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram código vulnerável em pacotes Python legados que poderiam potencialmente abrir caminho para um comprometimento da cadeia de suprimentos no Índice de Pacotes Python (PyPI) por meio de um ataque de controle de domínio.
A empresa de segurança da cadeia de suprimentos de software ReversingLabs disse que encontrou a “vulnerabilidade” nos arquivos de inicialização fornecidos por uma ferramenta de automação de construção e implantação chamada “zc.buildout”.
“Os scripts automatizam o processo de download, construção e instalação das bibliotecas e ferramentas necessárias”, disse o pesquisador de segurança Vladimir Pezo. "Especificamente, quando o script de bootstrap é executado, ele busca e executa um script de instalação para o pacote Distribute from python-distribute[.]org – um domínio legado que agora está disponível para venda na faixa de preço premium enquanto é gerenciado para gerar receita publicitária."
Os pacotes PyPI que incluem um script de bootstrap que acessa o domínio em questão incluem tornado, pypiserver, slapos.core, roman, xlutils e testfixtures.
O cerne do problema diz respeito a um antigo script de bootstrap ("bootstrap.py") que foi usado junto com a ferramenta zc.buildout para inicializar o ambiente Buildout. O script Python também suportava a capacidade de instalar um utilitário de empacotamento chamado "Distribute", uma bifurcação de curta duração do projeto Setuptools, no ambiente local.
Para conseguir isso, o script de instalação Distribute ("distribute_setup.py") é obtido do python-distribute[.]org, um domínio que está à venda desde 2014. Ao adicionar a opção, a ideia era instruir o script bootstrap para baixar e instalar o pacote Distribute em vez do pacote Setuptools mais antigo para gerenciar ovos e dependências para o buildout.
É importante notar que o fork Distribute surgiu devido à falta de desenvolvimento ativo do Setuptools, a principal ferramenta de gerenciamento de pacotes usada na época. No entanto, os recursos do Distribute foram integrados novamente ao Setuptools em 2013, tornando o Distribute obsoleto.
O problema identificado pelo ReversingLabs diz respeito ao fato de que muitos pacotes continuaram a enviar o script de bootstrap que tenta instalar o Distribute por padrão ou quando a opção de linha de comando ("-d" ou "--distribute") é especificada. Isso, juntamente com o fato de que o domínio em questão está disponível, coloca os usuários em risco latente, pois um invasor pode transformar essa configuração em uma arma para veicular código malicioso quando o script de inicialização for executado inadvertidamente e potencialmente roubar dados confidenciais.
Embora alguns dos pacotes afetados tenham tomado medidas para remover o script de bootstrap, o pacote slapos.core ainda continua a enviar o código vulnerável. Também está incluído na versão de desenvolvimento e manutenção do Tornado.
Outro aspecto importante a considerar aqui é que o script bootstrap não é executado automaticamente durante a instalação do pacote e é escrito em Python 2. Isso significa que o script não pode ser executado com Python 3 sem modificações. Mas a mera presença do arquivo deixa uma “superfície de ataque desnecessária” que os invasores podem explorar se os desenvolvedores forem induzidos a executar o código que aciona a execução do script de inicialização.
A ameaça de uma aquisição de domínio não é teórica. Em 2023, descobriu-se que o pacote npm fsevents foi comprometido por um malfeitor que assumiu o controle de um recurso de nuvem não reivindicado hospedado em fsevents-binaries.s3-us-west-2.amazonaws[.]com para enviar executáveis maliciosos aos usuários que instalam certas versões do pacote (CVE-2023-45311, pontuação CVSS: 9,8).
“O problema está no padrão de programação que inclui a busca e execução de uma carga útil de um domínio codificado, que é um padrão comumente observado em malware que exibe comportamento de downloader”, disse Pezo. "A falha em desativar formalmente o módulo Distribute permitiu que scripts de bootstrap vulneráveis permanecessem e deixou um número desconhecido de projetos expostos a um ataque potencial."
A divulgação ocorre no momento em que HelixGuard descobriu um pacote malicioso no PyPI chamado “verificadores ortográficos” que afirma ser uma ferramenta para verificar erros ortográficos usando OpenAI Vision, mas contém código malicioso projetado para se conectar a um servidor externo e baixar uma carga útil de próximo estágio, que então executa um trojan de acesso remoto (RAT).
O pacote, carregado pela primeira vez no PyPI em 15 de novembro de 2025, por um usuário chamado leo636722, foi baixado 955 vezes. Não está mais disponível para download.
“Este RAT pode receber comandos remotos e executar código Python controlado pelo invasor via exec(), permitindo controle remoto total sobre o host da vítima”, disse HelixGuard. “Quando o usuário instala e executa o pacote malicioso, o backdoor se torna ativo, permitindo ao invasor controlar remotamente o computador do usuário”.
A empresa de segurança da cadeia de suprimentos de software ReversingLabs disse que encontrou a “vulnerabilidade” nos arquivos de inicialização fornecidos por uma ferramenta de automação de construção e implantação chamada “zc.buildout”.
“Os scripts automatizam o processo de download, construção e instalação das bibliotecas e ferramentas necessárias”, disse o pesquisador de segurança Vladimir Pezo. "Especificamente, quando o script de bootstrap é executado, ele busca e executa um script de instalação para o pacote Distribute from python-distribute[.]org – um domínio legado que agora está disponível para venda na faixa de preço premium enquanto é gerenciado para gerar receita publicitária."
Os pacotes PyPI que incluem um script de bootstrap que acessa o domínio em questão incluem tornado, pypiserver, slapos.core, roman, xlutils e testfixtures.
O cerne do problema diz respeito a um antigo script de bootstrap ("bootstrap.py") que foi usado junto com a ferramenta zc.buildout para inicializar o ambiente Buildout. O script Python também suportava a capacidade de instalar um utilitário de empacotamento chamado "Distribute", uma bifurcação de curta duração do projeto Setuptools, no ambiente local.
Para conseguir isso, o script de instalação Distribute ("distribute_setup.py") é obtido do python-distribute[.]org, um domínio que está à venda desde 2014. Ao adicionar a opção, a ideia era instruir o script bootstrap para baixar e instalar o pacote Distribute em vez do pacote Setuptools mais antigo para gerenciar ovos e dependências para o buildout.
É importante notar que o fork Distribute surgiu devido à falta de desenvolvimento ativo do Setuptools, a principal ferramenta de gerenciamento de pacotes usada na época. No entanto, os recursos do Distribute foram integrados novamente ao Setuptools em 2013, tornando o Distribute obsoleto.
O problema identificado pelo ReversingLabs diz respeito ao fato de que muitos pacotes continuaram a enviar o script de bootstrap que tenta instalar o Distribute por padrão ou quando a opção de linha de comando ("-d" ou "--distribute") é especificada. Isso, juntamente com o fato de que o domínio em questão está disponível, coloca os usuários em risco latente, pois um invasor pode transformar essa configuração em uma arma para veicular código malicioso quando o script de inicialização for executado inadvertidamente e potencialmente roubar dados confidenciais.
Embora alguns dos pacotes afetados tenham tomado medidas para remover o script de bootstrap, o pacote slapos.core ainda continua a enviar o código vulnerável. Também está incluído na versão de desenvolvimento e manutenção do Tornado.
Outro aspecto importante a considerar aqui é que o script bootstrap não é executado automaticamente durante a instalação do pacote e é escrito em Python 2. Isso significa que o script não pode ser executado com Python 3 sem modificações. Mas a mera presença do arquivo deixa uma “superfície de ataque desnecessária” que os invasores podem explorar se os desenvolvedores forem induzidos a executar o código que aciona a execução do script de inicialização.
A ameaça de uma aquisição de domínio não é teórica. Em 2023, descobriu-se que o pacote npm fsevents foi comprometido por um malfeitor que assumiu o controle de um recurso de nuvem não reivindicado hospedado em fsevents-binaries.s3-us-west-2.amazonaws[.]com para enviar executáveis maliciosos aos usuários que instalam certas versões do pacote (CVE-2023-45311, pontuação CVSS: 9,8).
“O problema está no padrão de programação que inclui a busca e execução de uma carga útil de um domínio codificado, que é um padrão comumente observado em malware que exibe comportamento de downloader”, disse Pezo. "A falha em desativar formalmente o módulo Distribute permitiu que scripts de bootstrap vulneráveis permanecessem e deixou um número desconhecido de projetos expostos a um ataque potencial."
A divulgação ocorre no momento em que HelixGuard descobriu um pacote malicioso no PyPI chamado “verificadores ortográficos” que afirma ser uma ferramenta para verificar erros ortográficos usando OpenAI Vision, mas contém código malicioso projetado para se conectar a um servidor externo e baixar uma carga útil de próximo estágio, que então executa um trojan de acesso remoto (RAT).
O pacote, carregado pela primeira vez no PyPI em 15 de novembro de 2025, por um usuário chamado leo636722, foi baixado 955 vezes. Não está mais disponível para download.
“Este RAT pode receber comandos remotos e executar código Python controlado pelo invasor via exec(), permitindo controle remoto total sobre o host da vítima”, disse HelixGuard. “Quando o usuário instala e executa o pacote malicioso, o backdoor se torna ativo, permitindo ao invasor controlar remotamente o computador do usuário”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #scripts #legados #de #bootstrap #do #python #criam #risco #de #aquisição #de #domínio #em #vários #pacotes #pypi
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário