Detecção de Malware no PyPi: Roubando Tokens do Discord para Espalhar Malware

No início deste mês, pesquisadores de segurança identificaram malware no PyPi que exfiltrou credenciais dos usuários, cookies de aplicativos e histórico, junto com outros dados sensíveis. Os dados da pesquisa indicam que os adversários carregam pacotes maliciosos no The Python Package Index (PyPI) – um vasto repositório de pacotes Python de código aberto. O objetivo é enganar os usuários para baixá-los, oferecendo funcionalidades falsas e ferramentas de Roblox. Na realidade, o malware tenta roubar dados armazenados. Quando executado, ele mira navegadores como Google Chrome, Firefox e Opera; também compromete o Discord, injetando um agente malicioso persistente nos processos do aplicativo.

Detectar Malware no PyPi

Para ajudar as organizações a protegerem melhor sua infraestrutura, nosso atento desenvolvedor Threat Bounty Aytek Aytemur lançou recentemente a regra Sigma dedicada que permite a detecção fácil de malware PyPi. As equipes de segurança podem baixar esta e outras regras relevantes na plataforma Detection as Code da SOC Prime:

Novo Malware PyPi (via process_creation)

A regra está alinhada com o framework MITRE ATT&CK® v.10, abordando as táticas de Evasão de Defesa e Execução com Mascaramento (T1036) e Tarefa/Emprego Agendado (T1053) como técnicas principais.

Clique no Ver na Plataforma SOC Prime botão para acessar uma vasta biblioteca de conteúdo de detecção de ameaças cibernéticas. Todas as regras são mapeadas para o framework MITRE ATT&CK, minuciosamente curadas e verificadas. Profissionais de SOC que procuram examinar os dados de segurança de sua organização com maior eficiência são bem-vindos a aproveitar os benefícios do primeiro mecanismo de busca do setor para Caça de Ameaças, Detecção de Ameaças e Inteligência de Ameaças Cibernéticas. Para experimentar a ferramenta, pressione o botão Investigar no Mecanismo de Busca .

Ver na Plataforma SOC Prime Investigar no Mecanismo de Busca

Análise de Malware PyPi

O PyPi é altamente popular entre organizações grandes e pequenas como repositório de código aberto. Atores de ameaça aproveitam a popularidade da plataforma entre milhões de usuários para distribuir pacotes maliciosos que imitam ofertas legítimas que beneficiam projetos baseados em Python.

Na atual onda de ataques que usam o repositório como ponto de partida, os adversários empregam diferentes abordagens para plantar seus malwares. No caso da distribuição do pacote malicioso voltado para hosts Windows, o malware ativado é usado para roubar dados disponíveis e sequestrar recursos do Discord para baixar mais executáveis. Os nomes dos pacotes armados são os seguintes: Free-net-vpn e Free-net-vpn2, Test-async, Ascii2text, Pyg-utils, Pymocks, PyProto2, Zlibsrc, WINRPCexploit e Browserdiv. Pesquisadores alertam que, embora tenham sido removidos do repositório, muitos usuários ainda podem estar armazenando os pacotes em seus sistemas.

Mais relatórios de adversários aproveitando o PyPI para distribuir ameaças elaboradas têm se acumulado recentemente. A instalação ilícita de criptomineradores, como uma maneira comprovadamente eficaz de infectar sistemas das vítimas, está atualmente em ascensão.

A SOC Prime oferece soluções indispensáveis para ajudar as empresas a manterem sistemas protegidos contra brechas. Quer se juntar a líderes da indústria e compartilhar suas regras Sigma e YARA para tornar o mundo mais seguro? Junte-se ao nosso Programa de Recompensas por Ameaças para receber recompensas recorrentes por suas contribuições valiosas!