Les administrateurs de Python Package Index (PyPI) ont supprimé 10 packages de codes de logiciels malveillants du registre après qu'un fournisseur de sécurité les a informés du problème.
Cet incident est le dernier d'une liste rapidement croissante de cas récents où des acteurs malveillants ont placé des logiciels malveillants sur des référentiels de logiciels largement utilisés tels que PyPI, Node Package Manager (npm) et Maven Central, dans le but de compromettre plusieurs organisations. Les analystes en sécurité ont décrit cette tendance comme augmentant considérablement la nécessité pour les équipes de développement de faire preuve de diligence raisonnable lors du téléchargement de code tiers et open source à partir de registres publics.
Les chercheurs de Spectralops.io de Check Point ont découvert ce dernier ensemble de packages malveillants sur PyPI et ont découvert qu'ils étaient des droppers pour les logiciels malveillants voleurs d'informations. Les packages ont été conçus pour ressembler à du code légitime et, dans certains cas, imitaient d'autres packages populaires sur PyPI.
Code malveillant dans les scripts d'installation
Les chercheurs de Check Point ont découvert que les acteurs malveillants qui avaient placé le malware dans le registre avaient intégré du code malveillant dans le registre. script d'installation du paquet. Ainsi, lorsqu’un développeur utilisait la commande d’installation « pip » pour installer l’un des packages malveillants, le code malveillant s’exécutait inaperçu sur la machine de l’utilisateur et installait le dropper de malware.
Par exemple, l'un des faux packages, appelé « Ascii2text », contenait du code malveillant dans un fichier (_init_.py) importé par le script d'installation (setup.py). Lorsqu'un développeur tentait d'installer le package, le code téléchargeait et exécutait un script recherchant des mots de passe locaux, qu'il téléchargeait ensuite sur un serveur Discord. Le package malveillant a été conçu pour ressembler exactement à un package artistique populaire du même nom et de la même description, selon Check Point.
Trois des dix packages malveillants (Pyg-utils, Pymocks et PyProto10) semblent avoir été développés par le même acteur malveillant qui a récemment déployé des logiciels malveillants pour voler les informations d'identification AWS sur PyPI. Lors du processus d'installation de setup.py, Py-Utils s'est par exemple connecté au même domaine malveillant que celui utilisé dans la campagne de vol d'informations d'identification AWS. Bien que Pymocks et PyProto2 se soient connectés à un domaine malveillant différent pendant le processus d'installation, leur code était presque identique à celui de Pyg-utils, ce qui a amené Check Point à croire que le même auteur avait créé les trois packages.
Les autres packages incluent probablement un téléchargeur de logiciels malveillants appelé Test-async, censé être un package permettant de tester le code ; un appelé WINRPCexploit pour voler les informations d'identification des utilisateurs pendant le processus d'installation setup.py ; et deux packages (Free-net-vpn et Free-net-vpn2) pour voler des variables d'environnement.
"Il est essentiel que les développeurs assurent la sécurité de leurs actions, en revérifiant chaque ingrédient logiciel utilisé et en particulier ceux qui sont téléchargés à partir de différents référentiels", prévient Check Point.
Le fournisseur de sécurité n'a pas immédiatement répondu lorsqu'on lui a demandé depuis combien de temps les packages malveillants étaient disponibles dans le registre PyPI ou combien de personnes pouvaient les avoir téléchargés.
Exposition croissante à la chaîne d’approvisionnement
Cet incident est le dernier en date à mettre en évidence les dangers croissants liés au téléchargement de code tiers à partir de référentiels publics sans vérification appropriée.
La semaine dernière, Sonatype a rapporté avoir découvert trois paquets contenant un ransomware qu'un pirate informatique d'âge scolaire en Italie avait téléchargé sur PyPI dans le cadre d'une expérience. Plus de 250 utilisateurs ont téléchargé l'un des packages, et 11 d'entre eux ont fini par avoir des fichiers cryptés sur leur ordinateur. Dans ce cas, les victimes ont pu obtenir la clé de déchiffrement sans avoir à payer de rançon, car le pirate informatique avait apparemment téléchargé le logiciel malveillant sans intention malveillante.
Cependant, il existe de nombreux autres cas où des attaquants ont utilisé des référentiels de code publics comme rampe de lancement pour la distribution de logiciels malveillants.
Plus tôt cette année, Sonatype a également découvert un package malveillant permettant de télécharger le kit d'attaque Cobalt Strike sur PyPI. À propos 300 développeurs ont téléchargé le malware avant qu'il ne soit retiré. En juillet, des chercheurs de Kaspersky ont découvert quatre voleurs d'informations hautement obscurcis se cache sur le référentiel npm largement utilisé pour les programmeurs Java.
Les attaquants ont commencé à cibler de plus en plus ces registres en raison de leur vaste portée. PyPI, par exemple, a plus de 613,000 utilisateurs et le code du site est actuellement intégré dans plus de 391,000 500 projets à travers le monde. Des organisations de toutes tailles et de tous types, notamment des sociétés Fortune XNUMX, des éditeurs de logiciels et des agences gouvernementales, utilisent le code de référentiels publics pour créer leurs propres logiciels.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
