Les téléchargements de paquets malveillants de PyPI sont utilisés pour cibler les développeurs
À la lumière des récentes activités cybercriminelles, l'inscription de nouveaux utilisateurs sur la plateforme PyPI a été interrompue. Actuellement, une augmentation du nombre de paquets malveillants sur la plateforme paquets malveillants PyPI est considérée comme la raison de cette suspension. Dans cet article, nous allons nous plonger dans les détails de l'affaire des paquets malveillants de PyPI. téléchargements de paquets malveillants PyPI et en savoir plus sur la suspension temporaire mise en place par l'administrateur.
Paquet malveillant PyPI : Suspension de l'inscription découverte
Selon des informations récentes médiasl'enregistrement de nouveaux utilisateurs et la création de nouveaux projets ont été temporairement interrompus le 28 mars. Cette mesure a été prise pour contrer ce que l'administrateur de PyPI pensait être une campagne de logiciels malveillants. Toutefois, ces deux fonctions ont été rétablies dix heures plus tard.
Il convient de mentionner ici qu'aucun autre détail sur les téléchargements de paquets malveillants de PyPI n'a été rendu public dans l'annonce de PyPI. l'annonce de PyPI. PyPI est un élément clé de la chaîne d'approvisionnement en logiciels, qui permet aux développeurs de partager et de télécharger des éléments de code utiles. Il est donc nécessaire d'en savoir plus sur ces incidents.
Les experts des sociétés de cybersécurité Checkmarx et Phylum ont publié des recherches sur des logiciels malveillants qui semblent similaires ou liés aux téléchargements de paquets malveillants sur PyPI. L'équipe de Checkmarx a fait la lumière sur le paquet malveillant sur PyPI en déclarant a déclaré:
"Il s'agit d'une attaque en plusieurs étapes et la charge utile malveillante vise à voler des portefeuilles de crypto-monnaie, des données sensibles des navigateurs (cookies, données d'extension, etc.) et diverses informations d'identification."
Les menaces imposées par les paquets malveillants sur PyPI auraient pu causer de graves dommages si elles n'avaient pas été traitées à temps. Commentant l'atténuation des téléchargements de paquets malveillants sur PyPI, Phylum a déclaré que :
"Si la réaction rapide et musclée de PyPI a sans aucun doute permis d'atténuer les retombées de cette attaque, il convient néanmoins de souligner que tous les écosystèmes ne sont pas aussi rapides et efficaces pour faire face à une telle attaque."
Séquence d'attaque des paquets malveillants sur PyPI
La séquence d'attaque des téléchargements de paquets malveillants PyPI ressemble beaucoup à celle d'autres campagnes de logiciels malveillants induits par des dépôts de logiciels. de logiciels malveillants. Selon des rapports récents, cette violation de la sécurité de PyPI a consisté à inciter les développeurs à télécharger des paquets de code qui semblaient légitimes mais qui étaient malveillants.
Pour l'instant, on pense que les développeurs travaillant avec des éléments populaires tels que Pillow et Colorama ont été activement ciblés. Ces deux éléments gèrent respectivement la coloration d'images et de textes. Les chercheurs des deux sociétés pensent que le typosquattage a été utilisé pour donner l'impression que les téléchargements de paquets malveillants sur PyPI étaient légitimes.
Le typosquattage est une technique qui consiste à nommer un fichier de manière à ce qu'il ressemble à un paquet commun, mais avec une lettre mal placée ou supplémentaire. Commentant l'efficacité de cette technique, Phylum a déclaré que "Il suffit d'un seul doigt mal placé sur le clavier pour que votre machine soit compromise".
Qu'est-ce qui fait que ces paquet malveillant PyPI constituent une menace sérieuse, c'est la persistance du logiciel malveillant. Une fois qu'un paquet compromis a été téléchargé et que les développeurs ont commencé à travailler, ils peuvent exécuter le logiciel malveillant sans l'intervention d'un tiers. Il convient de préciser que ces logiciels malveillants peuvent même survivre à un redémarrage complet du système.
Une fois téléchargés, les paquets étaient d'abord vérifiés pour voir si l'installateur utilisait un système d'exploitation Windows. Si tel était le cas, ils procédaient au téléchargement et à l'exécution d'une charge utile obscurcie provenant de "funcaptcha[.]ru". "funcaptcha[.]ru". Ensuite, les paquets continuaient à exécuter des fonctions malveillantes telles que le vol de données. Les paquets continuaient également à télécharger le fichier "hvnc.py" dans le dossier de démarrage de Windows pour une persistance accrue.
Détails des téléchargements de paquets malveillants sur PyPI
Fournir des informations précieuses sur les vulnérabilités de vulnérabilités de sécurité de PyPICheck Point, une agence israélienne de cybersécurité, a déclaré que le téléchargement de paquets malveillants sur PyPI a commencé le 26 mars. Étant donné que les téléchargements sont liés à un compte unique, on peut affirmer que l'ensemble du processus a été automatisé.
Il convient de souligner que, puisque chacun des paquets malveillants sur PyPI paquets malveillants sur PyPI visaient des identités différentes, l'identification croisée des entrées est compliquée. Certains détails du paquet malveillant de paquets malveillants PyPI sont mentionnés dans le tableau ci-dessous.
Emballages | Nombre de variations |
Exigences | 67 |
Matplotlib | 38 |
Demandes | 36 |
Colorama | 35 |
Tensorflow | 29 |
Sélénium | 28 |
BeautifulSoup | 26 |
PyTorch | 26 |
Oreiller | 20 |
Asyncio | 15 |
Il convient également de mentionner que ce n'est pas la première fois que les inscriptions à PyPI sont suspendues. Les incidents précédents de telles suspensions ont été signalés l'année dernière en mai, novembre et décembre. En outre, un événement similaire a également été signalé le 2 janvier 2024.
Compte tenu de la persistance de la faille de sécurité de violations de la sécurité de PyPI les développeurs et les organisations doivent bien comprendre les techniques des logiciels malveillants. Cela permettra d'élaborer des contre-mesures efficaces qui réduiront les risques en ligne et amélioreront la posture de sécurité.
Conclusion
L'enregistrement de nouveaux utilisateurs et l'envoi de paquets sur PyPI ont été récemment suspendus en raison de la présence d'un paquet malveillant sur PyPI. PyPI de paquets malveillants de PyPI. Ces paquets se présentaient comme des ressources légitimes mais avaient pour but d'infecter les appareils des développeurs ciblés avec des logiciels malveillants. Le logiciel malveillant a été conçu pour infiltrer les appareils Windows, voler des données, et télécharger et exécuter des scripts supplémentaires pour augmenter la persistance.
Compte tenu de l'évolution des cybermenaces et des dommages qu'elles peuvent causer, la mise en œuvre de solutions de sécurité proactives s'impose. solutions de sécurité proactives est désormais essentielle pour protéger les actifs numériques et atténuer les risques.
Les sources de cet article comprennent des articles dans The Hacker News et The Record.