ClickCease W4SP Stealer : Le logiciel malveillant Discord pourrait se trouver dans votre code Python

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

W4SP Stealer : Pourquoi le logiciel malveillant Discord pourrait déjà se trouver dans votre code Python

Le 16 février 2023 - L'équipe de relations publiques de TuxCare

Nous Le premier rapport sur W4SP Stealer date de novembre. en réponse aux informations répandues sur une nouvelle attaque de la chaîne d'approvisionnement Python. Malheureusement, comme c'est souvent le cas, W4SP Stealer semble être là pour rester - et continuera de s'attaquer aux paquets de code Python dans le monde entier.

Dans cet article, nous reviendrons sur les origines de W4SP Stealer, expliquerons comment son infiltration de PyPI en fait une menace pour les développeurs Python du monde entier, et expliquerons pourquoi la diligence raisonnable reste votre meilleure défense.

Qu'est-ce que W4SP Stealer ?

Le logiciel malveillant impliqué dans cette grande histoire, W4SP Stealer, existe depuis une période inconnue. À un moment donné, le code du cheval de Troie était librement accessible sur GitHub, mais la communauté l'a rattrapé et a désactivé la page GitHub (même si, apparemment, il est toujours disponible pour 20 dollars l'unité - payable en crypto ou en cartes-cadeaux - si vous savez où chercher).

Les rapports nous apprennent que W4SP Stealer se propageait généralement par le biais de campagnes de phishing ou en exploitant les vulnérabilités des logiciels. À un moment donné, il se propageait par le biais d'un défi TikTok.

Les informations que W4SP Stealer peut collecter varient, mais peuvent inclure des informations de carte de crédit et des mots de passe. Le malware peut également s'attaquer aux portefeuilles de crypto-monnaies et aux jetons Discord. En fait, il peut aspirer tout fichier qui pourrait sembler utile. Il est publié par des personnes se faisant appeler billythegoat356, BillyV3 et BillyTheGoat.

Comment le voleur W4SP s'est-il retrouvé dans la chaîne d'approvisionnement des pythons ?

Les rapports sur l'infiltration de W4SP dans la chaîne d'approvisionnement du code Python ont commencé à se faire entendre haut et fort au cours des mois de novembre et décembre 2022... mais c'était, en fait, détecté pour la première fois en août 2022. C'est une société qui aide les développeurs à sécuriser la chaîne d'approvisionnement des logiciels, appelée Phylum, qui a fait la découverte.

Le malware a été découvert dans des paquets fournis sur le Python Package Index (PyPI). PyPI est un référentiel de logiciels Python où les utilisateurs peuvent facilement télécharger et installer des paquets et des modules créés par la communauté Python, y compris des bibliothèques, des outils et des applications tiers. Il s'agit d'un emplacement central permettant aux utilisateurs de trouver et de partager du code réutilisable, accélérant ainsi le processus de développement.

Cependant, il est très difficile de surveiller de manière cohérente un écosystème de paquets. Vous avez besoin de beaucoup de ressources pour le faire, et c'est là que Phylum intervient. En post après postl'équipe de recherche Phylum a rapporté comment les sponsors de W4SP Stealer ont réussi à échapper aux mécanismes de détection élémentaires pour injecter du code malveillant dans les paquets PyPI.

Le résultat net est que les développeurs Python déployant l'un des nombreux paquets PyPI dans leur code auront par inadvertance également inclus du code pour W4SP Stealer. Des paquets comme modulesecurity, informmodule et randomtime contiennent du code W4SP Stealer et ont été utilisés par d'innombrables développeurs.

Attaques de la chaîne d'approvisionnement (Rien de nouveau à voir ici)

Une attaque de la chaîne d'approvisionnement des logiciels consiste pour un attaquant à s'infiltrer dans le processus de développement des logiciels pour introduire du code malveillant ou exploiter des vulnérabilités. Elle peut être lancée à n'importe quel stade de la chaîne d'approvisionnement, y compris les composants, les bibliothèques tierces et les dépendances utilisés, le processus de construction et de conditionnement, et même la distribution des mises à jour logicielles. 

L'attaque de la chaîne d'approvisionnement visant PyPI est typique de ce qui se passe dans de nombreux écosystèmes de paquets, qu'il s'agisse de Python, PHP, Java ou JavaScript. Il s'agit d'une situation où de nombreux développeurs créent de nombreux paquets, mais où il y a un manque de ressources pour vérifier correctement chaque soumission.

Ainsi, quelque chose avec une intention malveillante, comme W4SP Stealer, peut passer par les listes de paquets, les mêmes listes que les développeurs parcourent pour trouver des bibliothèques pour simplifier leur travail. Et W4SP Stealer prouve que lorsque les développeurs ne font pas preuve de diligence raisonnable, ils peuvent finir par obtenir plus que ce qu'ils ont négocié et par conséquent expédier du code malveillant dans une application. 

Que peuvent faire les promoteurs pour exercer une diligence raisonnable ? 

  • Effectuer des vérifications d'antécédents: C'est difficile à faire quand on est pressé, mais c'est important. Un développeur doit vérifier les fournisseurs tiers, y compris ceux qui publient des paquets dans des dépôts tels que PyPI, pour s'assurer qu'ils ont un bon historique de sécurité. Faites également attention aux manipulations. 
  • Utiliser des pipelines de construction sécurisés et le cryptage: Faites appel à des vérifications de code automatisées et à des analyses de vulnérabilité pour identifier toute menace potentielle pour la sécurité. Cryptez les paquets logiciels avant leur distribution et utilisez des signatures numériques pour vérifier leur authenticité. 
  • Surveiller les dépendances logicielles: Gardez une trace des dépendances logicielles et des paquets que vous utilisez, vérifiez régulièrement les vulnérabilités dans les dépendances et appliquez régulièrement les mises à jour recommandées pour vous assurer que les vulnérabilités sont corrigées. 
  • Formez votre équipe: Tous les membres de l'équipe de développement doivent être conscients des risques de la chaîne d'approvisionnement des logiciels et doivent comprendre que ce n'est pas parce qu'un paquet dans un référentiel de paquets est populaire et bien présenté qu'il est sûr.

Il s'agit d'un processus long et fastidieux, bien loin de l'époque où les développeurs pouvaient simplement utiliser des paquets pour accélérer leur travail sans trop se soucier des conséquences. 

Mettez en place vos fondations

Chez TuxCare, nous plaidons pour des processus de développement sécurisés tout au long du SDLC. L'environnement de développement est complexe, avec de nombreuses pièces mobiles, et il est incontestablement difficile pour les développeurs sous pression de s'assurer que les prérogatives de cybersécurité sont toujours prises en compte.

C'est pourquoi il n'est pas surprenant que les acteurs de la menace trouvent un moyen de contourner même les développeurs consciencieux. Cela dit, les équipes de développement laissent parfois la porte grande ouverte en travaillant avec des sources de code peu fiables, en s'appuyant sur des versions de langage obsolètes, etc.

Si TuxCare peut vous aider à résoudre le problème des versions obsolètes de Python grâce à notre support étendu du cycle de vie, le reste dépend de vous et de votre équipe de développement. Votre meilleur plan d'action : suivez nos conseils ci-dessus, et suivez l'actualité pour rester au courant des événements majeurs.

 

Résumé
W4SP Stealer : Pourquoi le logiciel malveillant Discord pourrait déjà se trouver dans votre code Python
Nom de l'article
W4SP Stealer : Pourquoi le logiciel malveillant Discord pourrait déjà se trouver dans votre code Python
Description
Voyons les origines de W4SP Stealer et expliquons comment son infiltration de PyPI en fait une menace pour les développeurs Python du monde entier,
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information