Il team Supply Chain Security di Checkmarx ha scoperto un nuovo attacco su Python, cresciuto a dismisura nell’ultimo semestre. Utenti malintenzionati avrebbero distribuito incessantemente centinaia di pacchetti dannosi usando vari nomi utente, che hanno portato a circa 75.000 download. Come riportato sul sito di Chechmarx i pacchetti dannosi sono 272 e l’attacco si estende su un’ampia rete. L'obiettivo è quello di rubare grandi quantità di dati sensibili. Inoltre, sono stati colpiti anche gli utenti di criptovaluta modificando gli indirizzi di criptovaluta per reindirizzare le transazioni all'aggressore. Gli autori dei pacchetti hanno inoltre implementato livelli di offuscamento sempre più sofisticati, così come le tecniche di elusione del rilevamento.

Un malware capace di controllare l’intero sistema

I ricercatori di Checkmarx hanno affermato di aver trovato questo attacco all’interno dell’ecosistema Python lo scorso aprile. Un esempio è il file “init_py”, che viene caricato soltanto dopo aver verificato che sia in esecuzione su un sistema di destinazione e non in un ambiente virtualizzato, chiaro segno di un host di analisi malware. Una volta avviato, prende di mira alcune particolari informazioni sui sistemi infetti. Tra queste vi sono gli antivirus in esecuzione sul dispositivo, l’elenco delle attività, le password WiFi e le informazioni di sistema, le credenziali utente, la cronologia e le informazioni di pagamento archiviate, i dati nei wallet di criptovaluta come Atomic ed Exdodus, i badge Discord e altre informazioni personali, ma anche i dati utente Minecraft e Roblox. Questo malware può inoltre acquisire screenshot e rubare file dal sistema, come immagini, documenti e download.

Questo attacco mira, inoltre, a controllare gli appunti della vittima, alla ricerca di indirizzi di criptovaluta, in modo da scambiare eventuali pagamenti verso il proprio wallet. Ad oggi gli aggressori avrebbero rubato più di 100.000 dollari in criptovaluta. Sempre secondo gli analisti di Checkmarx, il malware usato in questa campagna sarebbe anche in grado di manipolare i dati delle app del sistema infetto. Ad esempio, è in grado di sostituire l’archivio elettronico dell’app di gestione del cryptowallet Exodus per alterare i file principali, aggirare la Content-Security-Policy e rubare i dati degli utenti. Su Discord, se determinate impostazioni sono abilitate, il malware include codice JavaScript che viene eseguito al riavvio del client. Infine, il malware utilizza uno script PowerShell in un terminale con privilegi elevati per manipolare gli "host" Windows e bloccare l'accesso ai siti web di sicurezza e antivirus, in modo l'utente non possa controllare la presenza di minacce.

Python: un attacco in continua evoluzione

Fino ad aprile, il codice dannoso di questa campagna su Python era visibile, poiché si trattava di testo in chiaro. Successivamente, gli autori dei pacchetti hanno aggiunto la crittografia, per un offuscamento multistrato. Secondo l’analista Yahuda Gelb, di Checkmarx, due dei pacchetti più recenti utilizzavano oltre 70 livelli di offuscamento. Ciò dimostra la pericolosità di questo attacco. I ricercatori avvertono che le community open source e gli ecosistemi di sviluppatori possono ancora essere bersaglio di questo tipo di attacchi e che gli autori di queste minacce caricano continuamente pacchetti dannosi su repository GitHub. Checkmarx consiglia quindi agli utenti di esaminare attentamente i progetti e gli editor di pacchetti di cui si fidano e controllare anche possibili errori di battitura sui nomi dei pacchetti. Il rischio è sempre dietro l’angolo.