Voglia di malware? È il turno dei commenti di Stack Overflow, votati come utili, che puntano a pacchetti PyPI infetti!

Se c’è una cosa che nessuno si sognerebbe mai di contestare ai Cyber-criminali questa è certamente la mancanza di fantasia. E lo dimostrano tutti i recenti racconti delle pittoresche modalità con cui gli attaccanti rendono accidentati percorsi sulla carta sicuri.

Ad esempio utilizzando i commenti di GitHub, oppure facendo la stessa cosa con GitLab, creando nomi del tutto simili ai repository autentici con campagne di malicious repo confusion oppure modificando le pagine dei repository Docker inserendo riferimenti alla descrizione del containere Docker contenenti malware.

Chi più ne ha più ne metta insomma, ed a questo elenco (comunque sintetico) va oggi ad aggiungersi una nuova tecnica che si basa sul vecchio veicolo di infezione rappresentato dai pacchetti malevoli densi di crypto-miner presenti in PyPI, il repository dei pacchetti Python installabili mediante pip e che sfrutta nientemeno che… I commenti di Stack Overflow.

A raccontare come funziona questa nuova campagna ci pensa Bleeping Computer, portando l’esempio di questa risposta fornita sul portale:

Peccato che il pacchetto in questione venga spacciato come un API management tool, mentre invece contiene malware pronto ad infettare il sistema del (disattento) malcapitato, che vedrà i propri dati trasferiti su sistemi che non potremmo definire sicuri.

A rendere tutto in qualche modo legittimo è il fatto che questi commenti vengano indicati come helpful, seguendo le politiche di Stack Overflow verso i nuovi contributori che pur non potendo votare (approvando o disapprovando la risposta), consentono comunque di guadagnare crediti di reputazione a fronte di suggerimenti “utili” (helpful).

Cosa che puntualmente questi commenti fanno, confondendo innocui agnellini ignari di finire al macello.

Vigilate amici, vigilate!