ClickCease Paquets malveillants PyPI avec des milliers de téléchargements

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Paquets malveillants PyPI avec des milliers de téléchargements ciblant les développeurs Python

Rohan Timalsina

27 novembre 2023 - L'équipe d'experts de TuxCare

Au cours des six derniers mois, un acteur non identifié a glissé des paquets malveillants dans le Python Package Index (PyPI), un dépôt de logiciels Python. Son objectif ? Libérer des logiciels malveillants capables de s'infiltrer dans votre système, de voler des données sensibles et même de s'emparer de votre crypto-monnaie durement gagnée.

Selon un rapport récent de Checkmars, ces 27 paquets déguisés en véritables bibliothèques Python ont été téléchargés des milliers de fois. La plupart des téléchargements proviennent des États-Unis (41,58 %), d'Allemagne, du Japon, du Royaume-Uni, de France, de Chine (12,22 %), de Hong Kong, de Russie, d'Irlande et de Singapour.

 

Paquets malveillants PyPI : Détails de l'attaque

 

Cette attaque se distingue par son utilisation de la stéganographie. La stéganographie consiste à dissimuler des informations dans un autre fichier ordinaire afin d'éviter toute détection. Dans ce cas, les attaquants ont habilement dissimulé une charge utile malveillante dans un fichier image d'apparence innocente, rendant ainsi l'attaque plus difficile à détecter. L'entreprise spécialisée dans la sécurité de la chaîne d'approvisionnement en logiciels a souligné que cette tactique augmentait considérablement la furtivité de l'attaque.

Parmi les paquets trompeurs, on trouve pyioler, pystallerer, pystob, pyowler et pyhuluh. Les paquets Python légitimes correspondants sont respectivement pyinstaller, pysolr, pyston, prowler et pyhull. L'objectif de cette attaque était de faire en sorte que les développeurs téléchargent involontairement ces paquets nuisibles. Le nombre de téléchargements de paquets malveillants s'élève à plus de quatre mille.

L'astuce utilisée dans ces paquets est le script setup.py, qui inclut des références à d'autres paquets malveillants tels que pystob et pywool. Ceux-ci, à leur tour, utilisent un script Visual Basic (VBScript) pour télécharger et exécuter un fichier nommé "Runtime.exe", établissant ainsi une présence persistante sur le système de la victime.

Le fichier binaire cache un programme compilé capable d'extraire des informations des navigateurs web, des portefeuilles de crypto-monnaies et de diverses applications.

Checkmarx a également relevé une autre chaîne d'attaque, dans laquelle les attaquants ont dissimulé le code exécutable dans une image PNG ("uwu.png"). Cette image est décodée et exécutée pour extraire l'adresse IP publique et l'identifiant universel unique (UUID) du système affecté.

Des paquets comme Pystob et Pywool se sont présentés comme des outils de gestion d'API, mais leur véritable objectif était d'exfiltrer des données vers un webhook Discord. En outre, ils ont tenté de maintenir la persistance en plaçant le fichier VBS dans le dossier de démarrage de Windows.

 

Conclusion

 

Dans un paysage numérique truffé de menaces, il est essentiel que les développeurs et les utilisateurs restent vigilants et identifient les paquets malveillants de PyPI. Face à l'augmentation des risques, le gouvernement américain a publié ce mois-ci de nouvelles recommandations invitant les développeurs et les fournisseurs à accorder la priorité à la sécurité des logiciels et à sensibiliser les utilisateurs à ce sujet. La Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et l'Office of the Director of National Intelligence (ODNI) recommandent d'évaluer les risques liés à la chaîne d'approvisionnement pour les décisions d'achat afin d'éviter d'être victime de ces incidents dans la chaîne d'approvisionnement des logiciels malveillants.

 

Les sources de cet article comprennent un article de Checkmarx et TheHackerNews.

Résumé
Paquets malveillants PyPI avec des milliers de téléchargements
Nom de l'article
Paquets malveillants PyPI avec des milliers de téléchargements
Description
Découvrez la menace alarmante de 27 paquets malveillants PyPI ciblant les développeurs Python. Découvrez les tactiques furtives et les risques potentiels.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information