São Paulo — InkDesign News — Pesquisadores da ReversingLabs identificaram o pacote Python malicioso dbgpkg, que se disfarça como uma ferramenta de depuração, mas instala um backdoor nos sistemas dos desenvolvedores, permitindo o roubo de dados. O incidente foi reportado recentemente, e suspeitas indicam a possível atuação de um grupo hacktivista a favor da Ucrânia, direcionado ao repositório PyPI e especialmente a desenvolvedores russos.
Incidente e vulnerabilidade
O pacote previsto como ferramenta de depuração, dbgpkg, falhou em apresentar recursos legítimos de depuração. Em vez disso, estava projetado para induzir desenvolvedores a instalar um backdoor, transformando suas máquinas em ativos comprometidos. Essa manipulação ocorre através de uma técnica denominada “wrapping de funções” ou “decoradores,” que altera o comportamento de ferramentas de rede padrão do Python, como os módulos requests e socket, escondendo o código malicioso até sua utilização.
De acordo com o relato da ReversingLabs, a análise do código revela que, ao ser instalado, ele verifica a presença de um arquivo específico para identificar se o backdoor já estava ativo. Se não encontrado, o código executa três comandos: o primeiro baixa uma chave pública do serviço Pastebin; o segundo instala uma ferramenta chamada Global Socket Toolkit, programada para contornar firewalls; e o terceiro envia um segredo criptografado para uma localização privada online.
Impacto e resposta
Estima-se que o impacto deste backdoor inclua a exfiltração de dados sensíveis a partir das máquinas comprometidas. Os pesquisadores da ReversingLabs assinalam semelhanças com a atividade criminosa do grupo hacktivista conhecido como Phoenix Hyena, que visa entidades russas. “As semelhanças entre o backdoor dbgpkg e malwares previamente utilizados sugerem uma operação motivada politicamente,” comenta um especialista da ReversingLabs.
Embora ainda não exista uma atribuição definitiva dessa campanha ao grupo mencionado, a linha do tempo e os pacotes maliciosos associados indicam um ator persistente e comprometido. Os especialistas enfatizam a necessidade urgente de vigilância e mitigação, dado o potencial de novas versões maliciosas surgirem rapidamente.
Mitigações recomendadas
As diretrizes de defesa incluem a descontinuação imediata do uso do pacote dbgpkg e a implementação de patches nas aplicações e ambientes que possam ter sido afetados. Recomenda-se a adoção de boas práticas, como a validação de pacotes antes da instalação e a realização de auditorias regulares nos ambientes de desenvolvimento. O uso de ferramentas de segurança, como firewalls e antivírus robustos, também é crucial na proteção contra ameaças semelhantes.
“Com uma campanha impulsionada por tensões geopolíticas, acredita-se que mais pacotes maliciosos possam ser criados como parte desta operação.”
(“And, with a campaign driven by geopolitical tensions, RL researchers believe that more malicious packages are almost certain to be created as part of this campaign.”)— ReversingLabs
O cenário de segurança cibernética permanece dinâmico, e os riscos residuais associados a essa vulnerabilidade exigem atenção contínua das organizações para se adaptarem a possíveis novas ameaças. A restauração de ambientes afetados e a conscientização entre os desenvolvedores são essenciais para prevenir futuras ocorrências.
Fonte: (Hack Read – Segurança Cibernética)
