Python : Des milliers de téléchargements de packages malveillants ciblant des informaticiens

La CISA a également déclaré que l’utilisation de logiciels libres s’est accrue.

Depuis près de six mois, un acteur inconnu a publié des paquets typosquat dans le dépôt Python Package Index (PyPI) dans le but de diffuser des logiciels malveillants capables d’acquérir une certaine persistance, de voler des données sensibles et d’accéder à des portefeuilles de crypto-monnaies à des fins financières.

Les 27 paquets, qui se sont fait passer pour des bibliothèques Python légitimes et populaires, ont attiré des milliers de téléchargements, indique Checkmarx dans un nouveau rapport. La majorité des téléchargements provenaient des États-Unis, de Chine, de France, de Hong Kong, d’Allemagne, de Russie, d’Irlande, de Singapour, du Royaume-Uni et du Japon.

« Cette attaque se caractérise par l’utilisation de la stéganographie pour dissimuler une charge utile malveillante dans un fichier image d’apparence innocente, ce qui augmente la furtivité de l’attaque », a déclaré l’entreprise spécialisée dans la sécurité de la chaîne d’approvisionnement en logiciels.

Certains des paquets sont pyefflorer, pyminor, pyowler, pystallerer, pystob et pywool ; le dernier a été installé le 13 mai 2023. Le dénominateur commun de ces paquets est l’utilisation d’un script setup.py pour inclure des références à d’autres paquets malveillants (pystob et pywool) qui déploient un script Visual Basic (VBScript) afin de télécharger et d’exécuter un fichier nommé « Runtime.exe » pour obtenir une persistance sur l’hôte.

Ce binaire contient un fichier compilé capable de collecter des informations à partir de navigateurs web, de portefeuilles de crypto-monnaies et d’autres applications. Une autre chaîne d’attaque observée par Checkmarx dissimulerait un code exécutable dans une image PNG (« uwu.png »), qui est ensuite décodée et exécutée ; cela permet d’extraire l’adresse IP publique et l’identifiant universel unique (UUID) d’un système affecté… Pystob et Pywool ont été publiés sous l’apparence d’outils de gestion d’API uniquement pour exfiltrer des données par le biais de webhooks Discord et tenter de maintenir la persistance en plaçant des fichiers VBS dans les dossiers de démarrage de Windows…

« Cette campagne est un nouveau rappel brutal des menaces omniprésentes dans le paysage numérique actuel, en particulier dans les domaines où la collaboration et l’échange de code ouvert sont fondamentaux », a déclaré Checkmarx lors de la découverte… Ce développement intervient alors que ReversingLabs a découvert une nouvelle vague de paquets protestware npm qui « cachent des scripts diffusant des messages sur les conflits liés à la paix en Ukraine, en Israël et dans la bande de Gaza ». Un paquet nommé @snyk/sweater-comb (version 2.1.1) détermine l’emplacement géographique de l’hôte ; s’il s’agit de la Russie, le message critiquant « l’invasion injustifiée » de l’Ukraine est affiché par le biais d’un autre module appelé « es5-ext ». Un autre module, e2eakarev, décrit comme « free palestine protest package » dans le fichier .json du module, effectue des vérifications similaires pour voir si l’adresse IP correspond à Israël ; si c’est le cas, il enregistre ce qui est décrit comme un « message de protestation inoffensif » et invite les développeurs à sensibiliser le public à la lutte des Palestiniens.

Les acteurs de la menace ne sont pas les seuls à infiltrer les écosystèmes open-source. En début de semaine, GitGuardian a révélé la présence de 3 938 secrets uniques totaux dans 2 922 projets PyPI, dont 768 secrets uniques se sont avérés valides. Cela inclut les clés AWS Azure Active Directory API keys GitHub OAuth app keys Dropbox keys SSH keys credentials associated MongoDB MySQL PostgreSQL Coinbase Twilio…. De plus, beaucoup de ces secrets ont été divulgués plus d’une fois, couvrant plusieurs versions, ce qui porte le nombre total d’occurrences à 56 866.

« L’exposition de secrets dans des paquets open-source comporte des risques importants pour les développeurs comme pour les utilisateurs », a déclaré Tom Forbes, de GitGuardian, lors de la découverte de ces secrets. « Les attaquants peuvent exploiter ces informations pour obtenir un accès non autorisé, se faire passer pour des responsables de paquets et manipuler les utilisateurs par le biais de tactiques d’ingénierie sociale. La vague continue d’attaques ciblant la chaîne d’approvisionnement des logiciels a également incité le gouvernement américain à publier ce mois-ci de nouvelles orientations sur la sécurité des logiciels à l’intention des développeurs de logiciels et des fournisseurs.

« Il est recommandé aux organisations d’acquisition d’évaluer les risques liés à la chaîne d’approvisionnement lors de leurs décisions d’achat, compte tenu des récents incidents très médiatisés survenus dans la chaîne d’approvisionnement des logiciels », ont déclaré la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et l’Office of the Director of National Intelligence (ODNI).

« Les développeurs et les fournisseurs de logiciels devraient améliorer leurs processus de développement de logiciels et réduire le risque de préjudice non seulement pour les employés et les actionnaires, mais aussi pour les utilisateurs.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.