Attention développeurs : protégez-vous contre le logiciel malveillant BlazeStealer !

Les paquets se font passer pour des outils d’obscurcissement apparemment inoffensifs, mais abritent un logiciel malveillant appelé BlazeStealer, a déclaré Checkmarx dans un rapport transmis à The Hacker News.

« BlazeStealer récupère un script malveillant supplémentaire à partir d’une source externe, activant un bot Discord qui donne aux attaquants le contrôle total de l’ordinateur de la victime », a déclaré le chercheur en sécurité Yehuda Gelb.

La campagne, qui a débuté en janvier 2023, comprend un total de huit paquets nommés Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse et pyobfgood, dont le dernier a été publié en octobre. Ces modules sont accompagnés des fichiers setup.py et init.py qui sont conçus pour récupérer un script Python hébergé sur transfer[.]sh, qui est exécuté immédiatement après leur installation.

Baptisé BlazeStealer, le logiciel malveillant fait fonctionner un bot Discord et permet à l’acteur de la menace de recueillir un large éventail d’informations, notamment des mots de passe de navigateurs web et des captures d’écran, d’exécuter des commandes arbitraires, de chiffrer des fichiers et de désactiver l’antivirus Microsoft Defender sur l’hôte infecté. De plus, il peut rendre l’ordinateur inutilisable en augmentant l’utilisation du processeur, en insérant un script Windows Batch dans le répertoire de démarrage pour arrêter la machine, et même en forçant un écran bleu de la mort (BSoD).
« Il va de soi que les développeurs qui s’adonnent à l’obscurcissement du code ont probablement affaire à des informations précieuses et sensibles, ce qui, pour un pirate, en fait une cible digne d’être poursuivie », note M. Gelb.
La majorité des téléchargements associés aux paquets malveillants provenaient des États-Unis, suivis de la Chine, de la Russie, de l’Irlande, de Hong Kong, de la Croatie, de la France et de l’Espagne. Ils ont été téléchargés collectivement 2 438 fois avant d’être supprimés.

« Le domaine des logiciels libres reste un terrain fertile pour l’innovation, mais il exige de la prudence. Les développeurs doivent rester vigilants et vérifier les paquets avant de les consommer », a déclaré M. Gelb.

Ce développement intervient alors que la société de sécurité de la chaîne d’approvisionnement des logiciels Phylum a découvert une collection de modules npm sur le thème de la cryptographie – puma com erc20 testenv blockledger cryptotransact chainflow – ayant la capacité de fournir furtivement des logiciels malveillants de niveau suivant.

Ces dernières années, les référentiels open source sont apparus comme un moyen lucratif pour les acteurs de la menace de diffuser des logiciels malveillants Selon le rapport Evolution of Software Supply Chain Security Report for Q3 2023 de Phylum, 13 708 paquets à travers de multiples écosystèmes ont été trouvés exécutant un code suspect pendant l’installation.

« 1 481 paquets ont subrepticement téléchargé et exécuté du code à partir d’une source distante », a déclaré la société le mois dernier « 10 201 paquets ont référencé des URL malveillantes connues [et] 2 598 paquets typosquat ont été identifiés ».