Découverte de 116 logiciels malveillants sur PyPI menaçant Windows et Linux

« Dans certains cas, la charge utile finale est une variante du tristement célèbre W4SP Stealer, ou un simple moniteur de presse-papiers pour voler de la crypto-monnaie, ou les deux », ont déclaré les chercheurs d’ESET Marc-Etienne M.Léveillé et Rene Holt dans un rapport publié plus tôt cette semaine.

On estime que les paquets ont été téléchargés plus de 10 000 fois depuis mai 2023.

Les acteurs de la menace à l’origine de cette activité ont été observés en train d’utiliser trois techniques pour intégrer du code malveillant dans des paquets Python, à savoir via un script test.py, en intégrant PowerShell dans le fichier setup.py et en l’incorporant sous une forme obscurcie dans le fichier __init__.py.

Quelle que soit la méthode utilisée, l’objectif final de la campagne est de compromettre l’hôte ciblé avec un logiciel malveillant, principalement une porte dérobée capable d’exécuter des commandes à distance, d’exfiltrer des données et de prendre des captures d’écran. Le module de porte dérobée est implémenté en Python pour Windows et en Go pour Linux.

Les chaînes d’attaque peuvent également aboutir au déploiement de W4SP Stealer ou d’un logiciel malveillant de type clipper conçu pour surveiller de près l’activité du presse-papiers de la victime et échanger l’adresse du portefeuille d’origine, le cas échéant, avec une adresse contrôlée par l’auteur de l’attaque.

Ce développement est le dernier d’une vague de paquets Python compromis que les attaquants ont publié pour empoisonner l’écosystème open-source et distribuer un ensemble de logiciels malveillants pour les attaques de la chaîne d’approvisionnement. Il s’agit également du dernier ajout à un flux constant de faux paquets PyPI qui ont servi de canal furtif pour la distribution de logiciels malveillants voleurs. En mai 2023, ESET a révélé un autre groupe de bibliothèques conçues pour propager Sordeal Stealer, qui emprunte ses caractéristiques à W4SP Stealer. Puis, le mois dernier, des paquets malveillants se faisant passer pour des outils d’obscurcissement apparemment inoffensifs ont été découverts pour déployer BlazeStealer – nom de code d’un logiciel malveillant voleur.

« Les développeurs Python devraient examiner attentivement le code qu’ils téléchargent, en particulier en vérifiant la présence de ces techniques, avant de l’installer sur leurs systèmes », ont averti les chercheurs.

La divulgation fait également suite à la découverte de paquets npm ciblant une institution financière anonyme dans le cadre d’un « exercice de simulation d’adversaires avancés ». Les noms des modules qui contenaient un blob crypté n’ont pas été divulgués pour protéger l’identité de l’organisation…

« Cette charge utile décryptée contient un binaire intégré qui exfiltre astucieusement les informations d’identification de l’utilisateur vers le webhook de Microsoft Teams qui est la cible interne de l’entreprise en question », a révélé la semaine dernière la société Phylum, spécialisée dans la sécurité de la chaîne d’approvisionnement en logiciels…