Python

Pesquisadores de cibersegurança da Zscaler ThreatLabz descobriram um sofisticado ataque à cadeia de suprimentos que visa desenvolvedores Python por meio de um pacote malicioso. O ataque, identificado em 22 de julho de 2025, utiliza um pacote aparentemente benigno chamado ’termncolor’, que importa uma dependência maliciosa chamada ‘colorinal’. Após a instalação, o malware executa um arquivo que carrega uma DLL maliciosa, permitindo a execução de código malicioso disfarçado de um executável legítimo. Para garantir a persistência, o malware cria uma entrada no registro do Windows, assegurando que o executável malicioso seja executado automaticamente em cada inicialização do sistema. Além disso, o malware realiza reconhecimento do sistema e se comunica com um servidor de comando e controle utilizando tráfego HTTPS, dificultando a detecção. O ataque também possui uma variante para sistemas Linux. Embora os pacotes maliciosos tenham sido removidos do Python Package Index (PyPI), o incidente destaca os riscos contínuos de compromissos na cadeia de suprimentos em ecossistemas de código aberto. Organizações devem implementar soluções de monitoramento e varredura de pacotes para detectar tais ameaças antes que se tornem persistentes.

Pesquisadores de cibersegurança descobriram um pacote malicioso no repositório Python Package Index (PyPI) chamado termncolor, que utiliza uma dependência chamada colorinal para executar um ataque em múltiplas etapas. O termncolor foi baixado 355 vezes, enquanto colorinal teve 529 downloads antes de serem removidos do PyPI. O ataque permite a execução remota de código e a persistência do malware por meio de um registro no Windows. O malware também pode infectar sistemas Linux, utilizando um arquivo compartilhado chamado terminate.so. A análise da atividade do autor do malware revelou que ele está ativo desde 10 de julho de 2025, e a comunicação com o servidor de comando e controle (C2) é realizada através do Zulip, um aplicativo de chat de código aberto. Além disso, um relatório da SlowMist alerta que desenvolvedores estão sendo alvo de ataques disfarçados de avaliações de emprego, levando à clonagem de repositórios do GitHub com pacotes npm maliciosos. Esses pacotes têm a capacidade de roubar dados sensíveis, como credenciais e informações de carteiras de criptomoedas. A situação destaca a necessidade de monitoramento constante dos ecossistemas de código aberto para evitar ataques à cadeia de suprimentos.