Pesquisadores da Check Point Software revelaram a descoberta de uma preocupante campanha de typosquatting, identificando mais de 500 pacotes maliciosos no Python Package Index (PyPI) em 26 de março.
O PyPI, com sua vasta base de usuários, é o principal repositório para pacotes de software da linguagem Python, utilizado por desenvolvedores globalmente para compartilhar e instalar códigos de forma facilitada.
A análise dos especialistas revelou que essa campanha foi conduzida em duas ondas, inicialmente com cerca de 200 pacotes seguidos por mais de 300, todos originados de contas de mantenedores distintas, com metadados exclusivos.
A estratégia dos atacantes envolveu o uso de automação para coordenar esses ataques, cada pacote sendo associado a uma única conta de usuário, o que complicou os esforços de detecção. Mesmo diante das melhorias nas defesas do PyPI, a natureza descentralizada dos uploads dificultou a identificação dessas ameaças.
Os pesquisadores observaram que a criação das contas mantenedoras ocorreu em 26 de março, com os pacotes maliciosos sendo rapidamente carregados no dia seguinte, possivelmente para evitar detecção inicial.
Essa prática não é nova para o PyPI, que tem sido alvo frequente de atividades maliciosas. Os pacotes maliciosos geralmente contêm código mal-intencionado, estratégias de ataque específicas para explorar o PyPI e métodos de infecção destinados a induzir os usuários a instalá-los inadvertidamente.
Os riscos associados à instalação desses pacotes incluem roubo de informações pessoais e a possibilidade de infecção por malware nos sistemas dos usuários. Após a identificação, a Check Point Software notificou prontamente o PyPI, resultando na remoção dos pacotes pela equipe administrativa.
A fim de auxiliar os usuários a determinarem se foram afetados, os pesquisadores disponibilizaram uma lista completa dos pacotes maliciosos em seu blog, juntamente com informações técnicas detalhadas sobre essa campanha de typosquatting contra o PyPI.
Essa prática de typosquatting, explicada como a modificação sutil de nomes de domínio para confundir os usuários, ressalta a importância contínua da vigilância e proteção cibernética em ambientes de desenvolvimento de software.
