SilentSync RAT Delivered via Two Malicious PyPI Packages Targeting Python Developers

Pesquisadores de segurança cibernética descobriram dois pacotes maliciosos no repositório Python Package Index (PyPI) projetados para entregar um trojan de acesso remoto chamado SilentSync em sistemas Windows.

Os pacotes, identificados como "sisaws" (201 downloads) e "secmeasure" (627 downloads), foram carregados por um usuário chamado "CondeTGAPIS" e já não estão disponíveis para download.

O SilentSync é capaz de executar comandos remotos, exfiltrar arquivos, capturar telas e extrair dados de navegadores como Chrome, Brave, Edge e Firefox (credenciais, histórico, dados de preenchimento automático e cookies).

O pacote sisaws imita o comportamento do pacote legítimo sisa, relacionado ao sistema de saúde argentino, enquanto o secmeasure se disfarça como uma biblioteca de segurança. Ambos contêm funcionalidades embutidas para baixar e executar o RAT SilentSync.

O malware é direcionado principalmente para Windows, mas também possui recursos para Linux e macOS, modificando o Registro do Windows, alterando arquivos crontab no Linux e registrando LaunchAgents no macOS.

A descoberta destes pacotes maliciosos destaca os riscos crescentes de ataques à cadeia de suprimentos em repositórios públicos de software, onde invasores usam typosquatting e impersonação de pacotes legítimos para obter acesso a informações pessoais identificáveis.