Setembro 22, 2025
Rico Olivetti Tecnologia

SilentSync RAT distribuído por meio de dois pacotes PyPI maliciosos direcionados a desenvolvedores Python

Pesquisadores de segurança cibernética descobriram dois novos pacotes maliciosos no repositório Python Package Index (PyPI), projetados para distribuir um trojan de acesso remoto chamado SilentSync em sistemas Windows.

“O SilentSync é capaz de executar comandos remotos, extrair arquivos e capturar telas”, disseram Manisha Ramcharan Prajapati e Satyam Singh, da Zscaler ThreatLabz . “O SilentSync também extrai dados do navegador, incluindo credenciais, histórico, dados de preenchimento automático e cookies de navegadores como Chrome, Brave, Edge e Firefox.”

Os pacotes, que não estão mais disponíveis para download no PyPI, estão listados abaixo. Ambos foram enviados por um usuário chamado “CondeTGAPIS”.

  • sisaws (201 downloads)
  • secmeasure (627 downloads)

Zscaler disse que o pacote sisaws imita o comportamento do pacote Python legítimo sisa, que está associado ao sistema nacional de informações de saúde da Argentina, o Sistema Integrado de Información Sanitaria Argentino (SISA).

No entanto, a biblioteca contém uma função chamada “gen_token()” no script de inicialização (__init__.py) que atua como um downloader para um malware de próxima etapa. Para isso, ela envia um token codificado como entrada e recebe como resposta um token estático secundário, de maneira semelhante à API SISA legítima.

“Se um desenvolvedor importar o pacote sisaws e invocar a função gen_token, o código decodificará uma string hexadecimal que revelará um comando curl, que será usado para buscar um script Python adicional”, disse Zscaler. “O script Python recuperado do PasteBin é gravado no arquivo helper.py em um diretório temporário e executado.”

O Secmeasure, de forma semelhante, se disfarça como uma “biblioteca para limpeza de strings e aplicação de medidas de segurança”, mas abriga uma funcionalidade incorporada para eliminar o SilentSync RAT.

O SilentSync é voltado principalmente para infectar sistemas Windows neste estágio, mas o malware também é equipado com recursos integrados para Linux e macOS, fazendo modificações no Registro no Windows, alterando o arquivo crontab no Linux para executar a carga na inicialização do sistema e registrando um LaunchAgent no macOS.

O pacote depende da presença do token secundário para enviar uma solicitação HTTP GET a um endpoint codificado (“200.58.107[.]25”) a fim de receber código Python executado diretamente na memória. O servidor suporta quatro endpoints diferentes:

  • /checkin, para verificar a conectividade
  • /comando, para solicitar comandos para executar
  • /respuesta, para enviar uma mensagem de status
  • /archivo, para enviar saída de comando ou dados roubados

O malware é capaz de coletar dados do navegador, executar comandos shell, capturar capturas de tela e roubar arquivos. Ele também pode extrair arquivos e diretórios inteiros na forma de arquivos ZIP. Após a transmissão dos dados, todos os artefatos são excluídos do host para evitar a detecção.

“A descoberta dos pacotes maliciosos PyPI, sisaws e secmeasure, destaca o risco crescente de ataques à cadeia de suprimentos em repositórios públicos de software”, disse Zscaler. “Ao utilizar typosquatting e se passar por pacotes legítimos, os invasores podem obter acesso a informações de identificação pessoal (PII).”