Desenvolvedores de Python e JavaScript são alvos de pacotes falsos que fornecem ransomware

Pesquisadores de segurança do Phylum alertam sobre um novo ataque à cadeia de suprimentos de software que depende de typosquatting para atingir desenvolvedores de Python e JavaScript.

Na sexta-feira, os pesquisadores alertaram que um agente de ameaça estava digitando pacotes populares do PyPI para direcionar os desenvolvedores a dependências maliciosas contendo código para baixar cargas escritas em Golang (Go).

O objetivo do ataque é infectar as vítimas com variantes de ransomware projetadas para atualizar o plano de fundo da área de trabalho com uma mensagem representando a CIA e instruindo a vítima a abrir um arquivo ‘readme’. O malware também tenta criptografar alguns dos arquivos da vítima.

O arquivo ‘readme’ é, na verdade, uma nota de resgate que informa à vítima que ela precisa pagar aos invasores $ 100 em criptomoeda para receber uma chave de descriptografia.

Phylum compilou uma lista de pacotes visados ​​na campanha. A partir de sexta-feira, a lista incluía: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr e tequests .

Pouco depois de publicar o relatório inicial, a Phylum o atualizou para avisar que os pacotes NPM também estavam sendo visados ​​como parte da mesma campanha.

Os pacotes NPM maliciosos identificados – como discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd e telnservrr – contêm código JavaScript que se comporta de maneira semelhante ao código identificado nos pacotes Python.

De acordo com o CTO da Phylum, Louis Lang, espera-se que o número de pacotes maliciosos aumente. Os binários descartados por esses pacotes são identificados como malware pelos mecanismos antivírus do VirusTotal.