{"id":1123,"date":"2025-09-22T14:18:00","date_gmt":"2025-09-22T14:18:00","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=1123"},"modified":"2025-09-22T14:18:31","modified_gmt":"2025-09-22T14:18:31","slug":"silentsync-rat-distribuido-por-meio-de-dois-pacotes-pypi-maliciosos-direcionados-a-desenvolvedores-python","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2025\/09\/22\/silentsync-rat-distribuido-por-meio-de-dois-pacotes-pypi-maliciosos-direcionados-a-desenvolvedores-python\/","title":{"rendered":"SilentSync RAT distribu\u00eddo por meio de dois pacotes PyPI maliciosos direcionados a desenvolvedores Python"},"content":{"rendered":"\n<p class=\"\">Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram dois novos pacotes maliciosos no reposit\u00f3rio Python Package Index (PyPI), projetados para distribuir um trojan de acesso remoto chamado SilentSync em sistemas Windows.<\/p>\n\n\n\n<p class=\"\">&#8220;O SilentSync \u00e9 capaz de executar comandos remotos, extrair arquivos e capturar telas&#8221;,&nbsp;<a href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/malicious-pypi-packages-deliver-silentsync-rat\" rel=\"noreferrer noopener\" target=\"_blank\">disseram<\/a>&nbsp;Manisha Ramcharan Prajapati e Satyam Singh, da Zscaler ThreatLabz . &#8220;O SilentSync tamb\u00e9m extrai dados do navegador, incluindo credenciais, hist\u00f3rico, dados de preenchimento autom\u00e1tico e cookies de navegadores como Chrome, Brave, Edge e Firefox.&#8221;<\/p>\n\n\n\n<p class=\"\">Os pacotes, que n\u00e3o est\u00e3o mais dispon\u00edveis para download no PyPI, est\u00e3o listados abaixo. Ambos foram enviados por um usu\u00e1rio chamado &#8220;CondeTGAPIS&#8221;.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"\">sisaws (201 downloads)<\/li>\n\n\n\n<li class=\"\">secmeasure (627 downloads)<\/li>\n<\/ul>\n\n\n\n<p class=\"\">Zscaler disse que o pacote sisaws imita o comportamento do pacote Python leg\u00edtimo sisa, que est\u00e1 associado ao sistema nacional de informa\u00e7\u00f5es de sa\u00fade da Argentina, o Sistema Integrado de Informaci\u00f3n Sanitaria Argentino (SISA).<\/p>\n\n\n\n<p class=\"\">No entanto, a biblioteca cont\u00e9m uma fun\u00e7\u00e3o chamada &#8220;gen_token()&#8221; no script de inicializa\u00e7\u00e3o (__init__.py) que atua como um downloader para um malware de pr\u00f3xima etapa. Para isso, ela envia um token codificado como entrada e recebe como resposta um token est\u00e1tico secund\u00e1rio, de maneira semelhante \u00e0 API SISA leg\u00edtima.<\/p>\n\n\n\n<p class=\"\">&#8220;Se um desenvolvedor importar o pacote sisaws e invocar a fun\u00e7\u00e3o gen_token, o c\u00f3digo decodificar\u00e1 uma string hexadecimal que revelar\u00e1 um comando curl, que ser\u00e1 usado para buscar um script Python adicional&#8221;, disse Zscaler. &#8220;O script Python recuperado do PasteBin \u00e9 gravado no arquivo helper.py em um diret\u00f3rio tempor\u00e1rio e executado.&#8221;<\/p>\n\n\n\n<p class=\"\">O Secmeasure, de forma semelhante, se disfar\u00e7a como uma &#8220;biblioteca para limpeza de strings e aplica\u00e7\u00e3o de medidas de seguran\u00e7a&#8221;, mas abriga uma funcionalidade incorporada para eliminar o SilentSync RAT.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhca-YUpoK1wKFx2MQEwEQLWuzUpm7620c9Bn_OAai1VATi3a7WF-yuAhyhYHI9OilpFvu0d91Q0bO-bCSoYR5c-8aS5GJ94MUPBP4bcsaw2MgaPu5neuoeC2J65SdOJ_hklw6GPZ_1p8cZXCnR_CcBnaefXXJ_uOqICV8vzUDLYy4Hugh5Gr6K1EWY6XlF\/s728-rw-e365\/z-blog.jpg\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhca-YUpoK1wKFx2MQEwEQLWuzUpm7620c9Bn_OAai1VATi3a7WF-yuAhyhYHI9OilpFvu0d91Q0bO-bCSoYR5c-8aS5GJ94MUPBP4bcsaw2MgaPu5neuoeC2J65SdOJ_hklw6GPZ_1p8cZXCnR_CcBnaefXXJ_uOqICV8vzUDLYy4Hugh5Gr6K1EWY6XlF\/s728-rw-e365\/z-blog.jpg\" alt=\"\"\/><\/a><\/figure>\n<\/div>\n\n\n<p class=\"\">O SilentSync \u00e9 voltado principalmente para infectar sistemas Windows neste est\u00e1gio, mas o malware tamb\u00e9m \u00e9 equipado com recursos integrados para Linux e macOS, fazendo modifica\u00e7\u00f5es no Registro no Windows, alterando o arquivo crontab no Linux para executar a carga na inicializa\u00e7\u00e3o do sistema e registrando um LaunchAgent no macOS.<\/p>\n\n\n\n<p class=\"\">O pacote depende da presen\u00e7a do token secund\u00e1rio para enviar uma solicita\u00e7\u00e3o HTTP GET a um endpoint codificado (&#8220;200.58.107[.]25&#8221;) a fim de receber c\u00f3digo Python executado diretamente na mem\u00f3ria. O servidor suporta quatro endpoints diferentes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li class=\"\">\/checkin, para verificar a conectividade<\/li>\n\n\n\n<li class=\"\">\/comando, para solicitar comandos para executar<\/li>\n\n\n\n<li class=\"\">\/respuesta, para enviar uma mensagem de status<\/li>\n\n\n\n<li class=\"\">\/archivo, para enviar sa\u00edda de comando ou dados roubados<\/li>\n<\/ul>\n\n\n\n<p class=\"\">O malware \u00e9 capaz de coletar dados do navegador, executar comandos shell, capturar capturas de tela e roubar arquivos. Ele tamb\u00e9m pode extrair arquivos e diret\u00f3rios inteiros na forma de arquivos ZIP. Ap\u00f3s a transmiss\u00e3o dos dados, todos os artefatos s\u00e3o exclu\u00eddos do host para evitar a detec\u00e7\u00e3o.<\/p>\n\n\n\n<p class=\"\">&#8220;A descoberta dos pacotes maliciosos PyPI, sisaws e secmeasure, destaca o risco crescente de ataques \u00e0 cadeia de suprimentos em reposit\u00f3rios p\u00fablicos de software&#8221;, disse Zscaler. &#8220;Ao utilizar typosquatting e se passar por pacotes leg\u00edtimos, os invasores podem obter acesso a informa\u00e7\u00f5es de identifica\u00e7\u00e3o pessoal (PII).&#8221;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pesquisadores de seguran\u00e7a cibern\u00e9tica descobriram dois novos pacotes maliciosos no reposit\u00f3rio Python Package Index (PyPI), projetados para distribuir um trojan de acesso remoto chamado SilentSync em sistemas Windows. &#8220;O SilentSync \u00e9 capaz de executar comandos remotos, extrair arquivos e capturar telas&#8221;,&nbsp;disseram&nbsp;Manisha Ramcharan Prajapati e Satyam Singh, da Zscaler ThreatLabz . &#8220;O SilentSync tamb\u00e9m extrai dados [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1124,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[1],"tags":[],"class_list":["post-1123","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/1123","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=1123"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/1123\/revisions"}],"predecessor-version":[{"id":1125,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/1123\/revisions\/1125"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/1124"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=1123"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=1123"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=1123"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}