Descoberta e escopo da ameaça
Uma campanha de segurança identificou um pacote malicioso no PyPI chamado hermes-px, que se disfarça como uma ferramenta de inferência de IA focada em privacidade. O pacote prometia rotear todas as solicitações de IA através da rede Tor para proteger o anonimato do usuário. Na realidade, ele sequestrava um endpoint de IA interno de uma universidade privada na Tunísia, coletava todas as mensagens enviadas pelos usuários e expunha os endereços IP reais das vítimas.
Os pesquisadores de segurança da JFrog identificaram o hermes-px em 5 de abril de 2026. O pacote apresentava documentação detalhada, instruções de instalação, exemplos de código e um guia de migração da SDK Python da OpenAI, tornando-se convincente para desenvolvedores que buscavam alternativas gratuitas e seguras.
Vetor e exploração
O ataque utilizava um prompt de sistema roubado do modelo Claude da Anthropic. O arquivo base_prompt.pz continha um prompt de 246.000 caracteres que foi descomprimido e injetado em cada chamada de API. O atacante tentou rebranding trocando "Claude" por "AXIOM-1" e "Anthropic" por "EGen Labs", mas referências incompletas permaneceram, incluindo nomes de funções específicos e caminhos de sistema de arquivos.
Para ocultar segredos, o pacote utilizou uma cadeia de ofuscação de três camadas: criptografia XOR com chave rotativa de 210 bytes, compressão zlib e codificação base64. Credenciais ou URLs de endpoint não existiam legíveis nos arquivos, sendo decodificados apenas na memória em tempo de execução.
Impacto e alcance
Uma vez instalado, o pacote enviava silenciosamente cada conversa do desenvolvedor para um banco de dados Supabase controlado pelo atacante. Além da coleta de dados, o hermes-px incluía uma seção de "CLI de Aprendizado Interativo" no README que instruía os usuários a buscar e executar um script Python diretamente de uma URL do GitHub em tempo de execução. Isso forneceu um canal secundário de execução de código, permitindo que payloads maliciosos atualizados fossem entregues sem publicar uma nova versão do pacote.
O impacto se estendeu além da coleta de dados, pois os usuários abusavam inadvertidamente da infraestrutura de IA privada da Universite Centrale sem seu conhecimento ou consentimento. A exfiltração contornava o Tor, usando a conexão direta da vítima, expondo seu IP real.
Medidas de mitigação recomendadas
Qualquer pessoa que instalou o hermes-px deve removê-lo imediatamente executando pip uninstall hermes-px. Todas as credenciais, chaves de API ou dados sensíveis incluídos em prompts enviados através do pacote devem ser rotacionados sem demora. Cada conversa passada pelo pacote deve ser tratada como totalmente capturada e revisada cuidadosamente.
O endpoint de exfiltração do atacante urlvoelpilswwxkiosey[.]supabase[.]co deve ser bloqueado no nível de rede. Se o Tor foi instalado para este pacote, removê-lo ajudará a reduzir a superfície de ataque geral.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem revisar os pacotes Python instalados em ambientes de desenvolvimento e produção, verificando a integridade de dependências. A implementação de políticas de aprovação de pacotes e o uso de repositórios privados seguros podem mitigar riscos de cadeia de suprimentos de software.