Des chercheurs découvrent 29 paquets PyPI malveillants ciblant les développeurs.
Les auteurs de menaces distribuent des paquets Python malveillants sur le service populaire Python Package Index (PyPI), en utilisant des noms de fichiers à consonance authentique et des importations cachées pour tromper les développeurs et voler leurs données.
Le malware W4SP est un paquet Python de vol de données qui est utilisé pour voler des informations. Stealer a été découvert par la société Phylum, spécialisée dans la chaîne d'approvisionnement en logiciels, et possédait 29 paquets dans le Python Package Index (PyPI), le dépôt officiel de logiciels tiers pour le langage de programmation Python. Les paquets reçoivent également des noms relativement inoffensifs ou des noms qui ressemblent à des paquets légitimes, une pratique connue sous le nom de typosquatting. L'astuce du typosquatting a entraîné plus de 5 700 téléchargements des paquets.
Dans le but de contaminer les systèmes des développeurs avec le W4SP Stealer, un cheval de Troie open-source basé sur Python conçu pour voler des informations sur les crypto-monnaies, voler des données, collecter des détails de connexion des systèmes des développeurs, des cookies de navigateur, des métadonnées système, des jetons Discord et des données du MetaMask, les attaquants créent de faux paquets Python et appliquent des techniques de base.
L'attaque a commencé vers le 12 octobre 2022 et a culminé le 22 octobre. L'importation malveillante a simplement été injectée dans les fichiers setup.py ou init.py de la majorité des paquets, en particulier les plus anciens. La liste des paquets affectés est la suivante typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte, pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color et pyhints.
Le but ultime de l'attaque est "d'installer le cheval de Troie voleur d'informations W4SP Stealer, qui répertorie le système de la victime, vole les mots de passe stockés dans le navigateur, cible les portefeuilles de crypto-monnaies et recherche des fichiers intéressants à l'aide de mots-clés, tels que 'banque' et 'secret'", indique Phylum.
Les sources de cet article comprennent un article de TheHackerNews.