Un pacchetto dannoso scoperto nel Python Package Index (PyPI) ha riacceso le preoccupazioni sulla sicurezza dell’ecosistema open source. Il pacchetto, chiamato dbgpkg, si maschera da innocuo strumento di debug, ma in realtà funge da veicolo per una backdoor sofisticata.

Secondo i ricercatori di ReversingLabs, dbgpkg fa parte di una campagna potenzialmente riconducibile al gruppo di hacktivisti Phoenix Hyena, attivo dal 2022. Il gruppo – conosciuto anche come DumpForums – è già stato collegato alla violazione del fornitore antivirus Dr.Web nel 2024.

Una minaccia invisibile tra i moduli Python

A differenza dei legittimi strumenti di debug Python, dbgpkg non offre alcuna funzionalità utile per lo sviluppo. Una volta installato, installa una backdoor utilizzando funzioni wrapper di Python, ossia decoratori che modificano subdolamente il comportamento del codice. La tecnica sfrutta sys.modules per agganciarsi a librerie di rete molto diffuse come requests e socket, rimanendo invisibile fino all’utilizzo effettivo di questi moduli.

Una volta attivato, il codice dannoso verifica la presenza di un’installazione esistente e se non ne trova esegue usa serie di comandi per:

  • Scaricare una chiave pubblica da un servizio Pastebin
  • Installare il Global Socket Toolkit, progettato per aggirare i firewall
  • Esfiltrare informazioni sensibili (es. segreti crittografati) su un altro Pastebin privato.

Questo metodo rende difficile il rilevamento, poiché maschera le azioni dannose dietro chiamate di moduli attendibili.

L’approccio utilizzato da dbgpkg è stato identificato anche in altri pacchetti compromessi, come discordpydebug e requestsdev, anch’essi camuffati da strumenti legittimi. Quest’ultimo tentava persino di impersonare Cory Benfield, uno degli sviluppatori core del linguaggio Python.

Nonostante dbgpkg sia stato rimosso prontamente, il pacchetto discordpydebug è riuscito a passare inosservato per oltre tre anni, raccogliendo più di 11.000 download, rappresentando un rischio a lungo termine per gli sviluppatori.

I repository open source continuano a essere obiettivi di alto valore per gli attaccanti. Gli sviluppatori sono invitati a restare vigili e ad analizzare attentamente i pacchetti apparentemente utili prima di installarli.

https://www.infosecurity-magazine.com/news/malware-pypi-threat-open-source/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: