Exploração da Chave de Execução do Windows para Ataques Persistentes
Pesquisadores de cibersegurança da Zscaler ThreatLabz descobriram um sofisticado ataque à cadeia de suprimentos que visa desenvolvedores Python por meio de um pacote malicioso. O ataque, identificado em 22 de julho de 2025, utiliza um pacote aparentemente benigno chamado ’termncolor’, que importa uma dependência maliciosa chamada ‘colorinal’. Após a instalação, o malware executa um arquivo que carrega uma DLL maliciosa, permitindo a execução de código malicioso disfarçado de um executável legítimo. Para garantir a persistência, o malware cria uma entrada no registro do Windows, assegurando que o executável malicioso seja executado automaticamente em cada inicialização do sistema. Além disso, o malware realiza reconhecimento do sistema e se comunica com um servidor de comando e controle utilizando tráfego HTTPS, dificultando a detecção. O ataque também possui uma variante para sistemas Linux. Embora os pacotes maliciosos tenham sido removidos do Python Package Index (PyPI), o incidente destaca os riscos contínuos de compromissos na cadeia de suprimentos em ecossistemas de código aberto. Organizações devem implementar soluções de monitoramento e varredura de pacotes para detectar tais ameaças antes que se tornem persistentes.