Les chercheurs en cybersécurité ont identifié un ensemble de 116 packages malveillants sur le référentiel Python Package Index (PyPI), conçus pour infecter les systèmes Windows et Linux avec une porte dérobée personnalisée.
« Dans certains cas, la charge utile finale est une variante du fameux W4SP Stealer, ou un simple moniteur de presse-papiers pour voler de la cryptomonnaie, ou les deux », ont déclaré Marc-Etienne M.Léveillé et René Holt, chercheurs d’ESET. dit dans un rapport publié plus tôt cette semaine.
Le paquets On estime qu’ils ont été téléchargés plus de 10 000 fois depuis mai 2023.
Les auteurs de la menace à l’origine de cette activité ont été observés en utilisant trois techniques pour regrouper du code malveillant dans des packages Python, à savoir via un script test.py, en intégrant PowerShell dans le fichier setup.py et en l’incorporant sous une forme masquée dans le fichier setup.py. Fichier __init__.py.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Quelle que soit la méthode utilisée, l’objectif final de la campagne est de compromettre l’hôte ciblé avec des logiciels malveillants, principalement une porte dérobée capable d’exécuter des commandes à distance, d’exfiltrer des données et de prendre des captures d’écran. Le module backdoor est implémenté en Python pour Windows et en Go pour Linux.
Alternativement, les chaînes d’attaque aboutissent également au déploiement de W4SP Stealer ou d’un malware clipper conçu pour garder un œil attentif sur l’activité du presse-papiers d’une victime et en échangeant l’adresse d’origine du portefeuille, le cas échéant, avec une adresse contrôlée par l’attaquant.
Ce développement est le dernier d’une vague de packages Python compromis que les attaquants ont publiés pour empoisonner l’écosystème open source et distribuer un mélange de logiciels malveillants pour les attaques de la chaîne d’approvisionnement.
Il s’agit également du dernier ajout à un flux constant de faux packages PyPI qui ont agi comme un canal furtif pour la distribution de logiciels malveillants voleurs. En mai 2023, ESET révélé un autre groupe de bibliothèques conçues pour propager Sordeal Stealer, qui emprunte ses fonctionnalités à W4SP Stealer.
Puis, le mois dernier, des packages malveillants se faisant passer pour des outils d’obscurcissement apparemment inoffensifs ont été découverts pour déployer un malware voleur nommé BlazeStealer.
« Les développeurs Python devraient examiner minutieusement le code qu’ils téléchargent, en particulier en vérifiant ces techniques, avant de l’installer sur leurs systèmes », préviennent les chercheurs.
La divulgation fait également suite à la découverte de packages NPM qui ont été découverts ciblant une institution financière anonyme dans le cadre d’un « exercice avancé de simulation d’adversaire ». Les noms des modules, qui contenaient un blob chiffré, ont été masqués pour protéger l’identité de l’organisation.
« Cette charge utile décryptée contient un binaire intégré qui exfiltre intelligemment les informations d’identification de l’utilisateur vers un webhook Microsoft Teams interne à l’entreprise cible en question », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels Phylum. divulgué la semaine dernière.