Hack Alerta

Pacote malicioso no PyPI já teve ~950 downloads e rouba dados de criptomoedas

Por Redação Hack Alerta Publicado em 24/11/2025 12:02 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores encontraram um pacote malicioso no PyPI que imita o pyspellchecker e, via um índice codificado, baixa um RAT para extrair credenciais e dados de carteiras de criptomoedas; até o momento o artefato teve cerca de 950 downloads. Recomendações incluem auditoria de dependências e bloqueio de infraestrutura de C2.

Pesquisadores da HelixGuard identificaram um pacote malicioso publicado no repositório PyPI e projetado para atacar usuários interessados em criptomoedas, camuflando‑se como uma ferramenta de verificação ortográfica similar ao pyspellchecker legítimo.

O que foi observado

O pacote falso imitava um projeto amplamente utilizado (o pyspellchecker tem milhões de downloads), mas incluía um índice oculto ma_IN.index codificado em Base64 que, quando descompactado e executado via Python exec(), carregava um payload adicional de segunda fase. Segundo a análise, a operação já acumulou mais de 950 downloads desde a implantação.

Mecanismo de infecção

A cadeia de ataque é multi‑estágio: o instalador executa o índice codificado, que se conecta a um servidor de comando‑e‑controle em dothebest.store para baixar a carga completa — um RAT (remote access trojan) em Python. A carga usa XOR para cifrar comunicações e um protocolo customizado para ocultar tráfego de monitoramento de rede; exceções são suprimidas para reduzir sinais de falha durante a execução.

Alvo e impacto

Os operadores buscam especificamente informações relacionadas a criptomoedas: carteiras, credenciais e artefatos de autenticação locais. Uma vez ativo, o backdoor permite execução remota de comandos Python, exfiltração de dados e controle extensivo do sistema comprometido.

Conexões e contexto

A HelixGuard reporta que a infraestrutura de C2 vista neste caso corresponde a servidores anteriormente usados em campanhas de engenharia social que se passavam por recrutadores, sugerindo coordenação operacional entre vetores tradicionais e distribuição por repositórios de código aberto.

Recomendações

  • Revisar imediatamente dependências Python instaladas e remover pacotes suspeitos.
  • Habilitar varredura de dependências em pipelines de CI/CD e políticas de aprovação para bibliotecas externas.
  • Monitorar conexões de rede para domínios/hosts indicados (por ex., dothebest.store) e aplicar bloqueios se identificados em ambiente corporativo.
  • Rotacionar chaves e senhas associadas a carteiras e serviços web se houver suspeita de instalação.

Limitações

A análise pública descreve o fluxo técnico e a contagem de downloads reportada (≈950), mas não divulga lista completa de artefatos ou assinaturas capazes de detecção automática universal. Organizações devem implementar detecção baseada em comportamento e validação de dependências, além de políticas de isolamento para ambientes de desenvolvimento e produção.

Fonte das observações: HelixGuard e síntese técnica publicada em relatório sobre o pacote malicioso.

Baseado em publicação original de Cyber Security News
Tags: #pypi #python #malware #pyspellchecker #crypto #rat #supply-chain #dependencias #helixguard
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar