Les attaquants continuent de créer de faux packages Python et d'utiliser des techniques d'obscurcissement rudimentaires pour tenter d'infecter les systèmes des développeurs avec W4SP Stealer, un cheval de Troie conçu pour voler des informations sur les cryptomonnaies, exfiltrer des données sensibles et collecter des informations d'identification sur les systèmes des développeurs.
Selon un avis publié cette semaine par la société de chaîne d'approvisionnement en logiciels Phylum, un acteur malveillant a créé 29 clones de progiciels populaires sur Python Package Index (PyPI), en leur donnant des noms à consonance anodine ou en leur donnant délibérément des noms similaires à des packages légitimes, un pratique connue sous le nom de typosquatting. Si un développeur télécharge et charge les packages malveillants, le script d'installation installe également – via un certain nombre d'étapes obscurcies – le cheval de Troie W4SP Stealer. Les packages ont représenté 5,700 XNUMX téléchargements, selon les chercheurs.
Alors que W4SP Stealer cible les portefeuilles de crypto-monnaie et les comptes financiers, l'objectif le plus important des campagnes actuelles semble être les secrets des développeurs, explique Louis Lang, co-fondateur et CTO de Phylum.
« Cela ressemble aux campagnes de phishing par courrier électronique auxquelles nous sommes habitués, mais cette fois-ci, les attaquants ciblent uniquement les développeurs », dit-il. « Étant donné que les développeurs ont souvent accès aux joyaux de la couronne, une attaque réussie peut être dévastatrice pour une organisation. »
Les attaques contre PyPI par un acteur ou un groupe inconnu ne sont que les dernières menaces visant la chaîne d'approvisionnement en logiciels. Les composants logiciels open source distribués via les services de référentiel, tels que PyPI et Node Package Manager (npm), sont un vecteur d'attaques populaire, car le nombre de dépendances importées dans les logiciels a considérablement augmenté. Les attaquants tentent d'utiliser les écosystèmes pour distribuer des logiciels malveillants aux systèmes de développeurs imprudents, comme cela s'est produit dans une attaque en 2020 contre l'écosystème Ruby Gems et des attaques contre l'écosystème d'images Docker Hub. Et en août, les chercheurs en sécurité de Check Point Software Technologies trouvé 10 packages PyPI qui a abandonné des logiciels malveillants voleurs d'informations.
Dans cette dernière campagne, « ces packages constituent une tentative plus sophistiquée de fournir le W4SP Stealer sur les machines des développeurs Python », ont déclaré les chercheurs de Phylum. déclaré dans leur analyse, ajoutant : « Comme il s’agit d’une attaque en cours avec des tactiques en constante évolution de la part d’un attaquant déterminé, nous pensons voir davantage de logiciels malveillants comme celui-ci apparaître dans un avenir proche. »
L'attaque PyPI est un « jeu de chiffres »
Cette attaque profite des développeurs qui saisissent par erreur le nom d'un package commun ou utilisent un nouveau package sans vérifier correctement la source du logiciel. Un package malveillant, nommé « typesutil », n’est qu’une copie du package Python populaire « datetime2 », avec quelques modifications.
Initialement, tout programme ayant importé le logiciel malveillant exécutait une commande pour télécharger le logiciel malveillant pendant la phase d'installation, lorsque Python charge les dépendances. Cependant, comme PyPI a mis en œuvre certaines vérifications, les attaquants ont commencé à utiliser des espaces pour pousser les commandes suspectes en dehors de la plage d'affichage normale de la plupart des éditeurs de code.
"L'attaquant a légèrement changé de tactique, et au lieu de simplement vider l'importation dans un endroit évident, elle a été placée hors de l'écran, profitant du point-virgule rarement utilisé de Python pour introduire le code malveillant sur la même ligne que d'autres codes légitimes", a déclaré Phylum. dans son analyse.
Bien que le typosquatting soit une attaque de faible fidélité avec de rares succès, l'effort coûte peu aux attaquants par rapport à la récompense potentielle, explique Phylum's Lang.
« C'est un jeu de chiffres, les attaquants polluent quotidiennement l'écosystème des packages avec ces packages malveillants », explique-t-il. « La triste réalité est que le coût du déploiement d’un de ces packages malveillants est extrêmement faible par rapport à la récompense potentielle. »
Un W4SP qui pique
Le but final de l'attaque est d'installer le « cheval de Troie voleur d'informations W4SP Stealer, qui énumère le système de la victime, vole les mots de passe stockés dans le navigateur, cible les portefeuilles de crypto-monnaie et recherche des fichiers intéressants à l'aide de mots-clés tels que « banque » et « secret ». », dit Lang.
"Outre les récompenses monétaires évidentes liées au vol de crypto-monnaie ou d'informations bancaires, certaines des informations volées pourraient être utilisées par l'attaquant pour poursuivre son attaque en donnant accès à une infrastructure critique ou à des informations d'identification supplémentaires pour les développeurs", a-t-il déclaré.
Phylum a fait des progrès dans l'identification de l'attaquant et a envoyé des rapports aux entreprises dont l'infrastructure est utilisée.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
