Les chercheurs en cybersécurité ont mis en garde contre un nouveau package Python malveillant qui a été découvert dans le référentiel Python Package Index (PyPI) pour faciliter le vol de crypto-monnaie dans le cadre d’une campagne plus large.
Le package en question est pytoileur, qui a été téléchargé 316 fois au moment de la rédaction. Il est intéressant de noter que l’auteur du package, qui s’appelle PhilipsPY, a mis en ligne une nouvelle version du package (1.0.2) avec des fonctionnalités identiques après qu’une version précédente (1.0.1) ait été retirée par les responsables de PyPI le 28 mai 2024.
Selon une analyse publiée par Sonatype, le code malveillant est intégré dans le script setup.py du package, lui permettant d’exécuter une charge utile codée en Base64 chargée de récupérer un binaire Windows à partir d’un serveur externe.
“Le binaire récupéré, ‘Runtime.exe’, est ensuite exécuté en exploitant les commandes Windows PowerShell et VBScript sur le système”, a déclaré le chercheur en sécurité Axe Sharma.
Une fois installé, le binaire établit la persistance et supprime des charges utiles supplémentaires, notamment des logiciels espions et un malware voleur capable de collecter des données à partir des navigateurs Web et des services de crypto-monnaie.
Sonatype a déclaré avoir également identifié un compte StackOverflow nouvellement créé appelé “EstAYA G” répondant aux requêtes des utilisateurs sur la plate-forme de questions et réponses, leur demandant d’installer le package malveillant pytoileur comme solution supposée à leurs problèmes.
“Bien que l’attribution définitive soit difficile lors de l’évaluation de comptes d’utilisateurs pseudonymes sur des plateformes Internet sans accès aux journaux, l’âge récent de ces deux comptes d’utilisateurs et leur seul objectif de publier et de promouvoir le package Python malveillant nous donnent une bonne indication qu’ils sont liés à le(s) même(s) acteur(s) menaçant(s) derrière cette campagne”, a déclaré Sharma à The Hacker News.
Ce développement marque une nouvelle escalade dans la mesure où il abuse d’une plate-forme crédible comme vecteur de propagation de logiciels malveillants.
“L’abus ouvert et sans précédent d’une plateforme aussi crédible, l’utilisant comme terrain fertile pour des campagnes malveillantes, est un énorme signe d’avertissement pour les développeurs du monde entier”, a ajouté Sonatype dans un communiqué partagé avec The Hacker News.
“La compromission de StackOverflow est particulièrement préoccupante étant donné le grand nombre de développeurs novices dont il dispose, qui sont encore en train d’apprendre, posent des questions et peuvent se laisser prendre à des conseils malveillants.”
Un examen plus approfondi des métadonnées du package et de son historique de paternité a révélé des chevauchements avec une campagne antérieure impliquant de faux packages Python tels que Pystob et Pywool, qui a été divulguée par Checkmarx en novembre 2023.
Ces résultats sont un autre exemple de la raison pour laquelle les écosystèmes open source continuent d’attirer les acteurs malveillants qui cherchent à compromettre plusieurs cibles à la fois avec des voleurs d’informations comme Bladeroid et d’autres logiciels malveillants au moyen de ce qu’on appelle une attaque de chaîne d’approvisionnement.