Nel panorama della sicurezza informatica, la scoperta di nuovi pacchetti malevoli all'interno del repository Python Package Index (PyPI) rappresenta una minaccia sempre più rilevante per sviluppatori e aziende. Recentemente sono stati identificati due pacchetti PyPI dannosi, chiamati “sisaws” e “secmeasure”, che diffondevano il trojan di accesso remoto SilentSync principalmente su sistemi Windows, ma con capacità anche per Linux e macOS.

SilentSync RAT si distingue per la sua capacità di eseguire comandi remoti, esfiltrare file, effettuare screenshot e rubare dati di navigazione, tra cui credenziali, cronologia, dati di compilazione automatica e cookie dai browser Chrome, Brave, Edge e Firefox. Questa ampia gamma di funzionalità lo rende uno strumento particolarmente pericoloso per chiunque installi inavvertitamente i pacchetti compromessi.

I pacchetti, ora rimossi da PyPI, sono stati scaricati centinaia di volte tramite nomi che imitavano pacchetti legittimi, sfruttando la tecnica del typosquatting. In particolare, “sisaws” simulava il pacchetto “sisa”, utilizzato in Argentina nel sistema sanitario nazionale. All'interno di sisaws era presente una funzione, gen_token(), che agiva come downloader per una seconda fase del malware. Questa funzione inviava un token predefinito e riceveva una risposta, simulando il comportamento delle API legittime, ma in realtà decodificava un comando curl che scaricava da PasteBin uno script Python aggiuntivo, poi eseguito in automatico.

Allo stesso modo, “secmeasure” si presentava come libreria per la pulizia di stringhe e l'applicazione di misure di sicurezza, ma nascondeva la stessa logica malevola per l'installazione di SilentSync. Una volta attivato, il RAT verificava la presenza di un token secondario e si collegava a un indirizzo IP codificato per scaricare ed eseguire codice Python direttamente in memoria, rendendo difficile la rilevazione da parte degli antivirus tradizionali.

Il server di comando e controllo di SilentSync supporta vari endpoint per gestire la comunicazione con i dispositivi infetti: verifica della connessione, ricezione di comandi, invio di messaggi di stato e trasmissione di dati rubati. Il malware elimina poi tutte le tracce dopo la trasmissione, aumentando la sua furtività.

Questo caso conferma i rischi crescenti legati agli attacchi supply chain attraverso repository pubblici come PyPI. Gli sviluppatori Python sono invitati a prestare massima attenzione ai pacchetti che installano, verificando sempre la provenienza, per evitare compromissioni che possano portare a furti di dati sensibili e controllo remoto dei sistemi.