ClickCease Crypto Malware Python Packages Spreading On Stack Exchange - TuxCare

Vérifier le statut des CVE. En savoir plus.

Table des matières

Rejoignez notre bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Suivez-nous sur les réseaux sociaux

TuxCare Blog

Crypto Malware Python Packages Spreading On Stack Exchange (en anglais)

par Wajahat Raja

Le 12 août 2024 - L'équipe d'experts de TuxCare

Des rapports récents des médias ont mis en lumière un logiciel malveillant de crypto-monnaie distribué via des paquets Python sur une plateforme de questions-réponses pour les développeurs, Stack Exchange. Le logiciel malveillant, s'il est activé, est capable de vider les portefeuilles de crypto-monnaie des utilisateurs ciblés. Dans cet article, nous allons nous concentrer sur le fonctionnement du code, les paquets malveillants impliqués, et plus encore. C'est parti !

Découverte d'un logiciel malveillant cryptographique sur les paquets Python

Les campagnes d'attaques relatives à ce crypto-malware ont été lancées le 25 juin 2024. Pour l'instant, les attaques semblent suivre une approche ciblée et viser les utilisateurs de crypto-monnaies impliqués dans Solana et Raydium.

Le malware cryptographique a été distribué à des utilisateurs activement impliqués dans les monnaies par le biais de plusieurs paquets Python qui ont été téléchargés collectivement plus de 2 000 fois. Les noms de ces paquets, ainsi que leurs téléchargements, sont les suivants :

Paquet Python Nombre de téléchargements
raydium 762 téléchargements
raydium-sdk 137 téléchargements
sol-instruct 115 téléchargements
sol-structures 292 téléchargements
spl-types 776 téléchargements

 

En ce qui concerne les détails des attaques, le crypto-malware diffusé par ces paquets Python malveillants peut effectuer toutes les actions d'un voleur d'informations complet.

Compte tenu de ces capacités, il était en mesure d'acquérir des cookies, des détails de cartes de crédit, des mots de passe de navigateurs web et des crypto-portefeuilles accessibles sur l'appareil compromis. En outre, il pouvait également accéder à des informations liées à des applications de messagerie telles que Session, Telegram et Signal.

Le crypto-malware pouvait également effectuer des captures d'écran et rechercher des fichiers. Les informations qu'il recueillait étaient compressées et envoyées à deux bots différents que l'auteur de la menace entretenait sur Telegram.

Pour ajouter à la gravité de son impact, le voleur d'informations disposait également d'une porte dérobée. Ce composant a été utilisé par les acteurs de la menace pour maintenir la persistance et assurer la compromission à long terme des appareils ciblés.

Fonctionnalité du code des logiciels malveillants cryptographiques et chaîne d'attaque

La chaîne d'attaque du crypto-malware a été divisée en plusieurs étapes, suivant une approche multicouche souvent observée dans le malware PlugX et d'autres chargeurs sophistiqués. Tout au long des étapes, les listes de paquets "raydium" et les "spl-types" ont été utilisés pour dissimuler les comportements malveillants et donner une impression de légitimité. Les acteurs de la menace ont utilisé Stack Exchange, une plateforme de questions-réponses pour développeurs, pour favoriser les téléchargements, ce qui fait écho aux tactiques similaires utilisées pour distribuer le logiciel malveillant ChatGPT via des plateformes de discussion populaires.

Sur la plateforme, ils publiaient des réponses à des questions et demandaient aux développeurs d'effectuer des transactions de swap dans Raydium à l'aide de Python. Au cours de cette étape, il a été veillé à ce qu'un fil de discussion à haute visibilité soit utilisé, car il permettait aux acteurs de la menace de maximiser leur portée et de cibler davantage d'utilisateurs.

Une fois le paquet malveillant installé, le code s'exécutait automatiquement. Il suivait ensuite une chaîne d'événements préconfigurés qui comprenait la compromission et le contrôle de l'appareil de la victime, l'exfiltration de données et le drainage des portefeuilles de crypto-monnaie. Il convient de préciser que ce n'est pas la première fois que de telles tactiques sont utilisées.

En mai 2024, un autre paquetage Python nommé pytoileur a été distribué sur une autre plateforme de questions-réponses appelée Stack Overflow. L'objectif de ces actions malveillantes était également le vol de crypto-monnaie. De tels schémas indiquent que les attaquants manipulent la confiance au sein des plateformes communautaires pour mener à bien leurs intentions malveillantes.

Conclusion

Cette campagne alarmante met l'accent sur la menace croissante des crypto-malwares qui ciblent les développeurs par le biais de plateformes de confiance comme Stack Exchange. En exploitant les paquets Python, les attaquants sont en mesure d'exfiltrer furtivement des données sensibles et de vider les portefeuilles de crypto-monnaies. La vigilance et des mesures de sécurité solides sont désormais essentielles pour se protéger contre ces attaques sophistiquées, en particulier avec l'augmentation des variantes de logiciels malveillants Linux ciblant les environnements de développement.

Les sources de cet article comprennent des articles de The Hacker News et de Tech Xpert.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, sans interruption du système ou sans fenêtres de maintenance programmées ?

En savoir plus sur le Live Patching avec TuxCare