Un acteur malveillant inconnu a été observé en train de publier des packages typosquat dans le référentiel Python Package Index (PyPI) pendant près de six mois dans le but de diffuser des logiciels malveillants capables de gagner en persistance, de voler des données sensibles et d’accéder à des portefeuilles de crypto-monnaie pour obtenir un gain financier.
Les 27 packages, qui se faisaient passer pour des bibliothèques Python légitimes et populaires, ont attiré des milliers de téléchargements, a déclaré Checkmarx dans un nouveau rapport. La majorité des téléchargements proviennent des États-Unis, de Chine, de France, de Hong Kong, d’Allemagne, de Russie, d’Irlande, de Singapour, du Royaume-Uni et du Japon.
« Une caractéristique déterminante de cette attaque était l’utilisation de la stéganographie pour cacher une charge utile malveillante dans un fichier image d’apparence innocente, ce qui a accru la furtivité de l’attaque », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels. dit.
Certains des paquets sont pyefflorer, pyminor, pyowler, pystallerer, pystob et pywool, dont le dernier a été planté le 13 mai 2023.
Un dénominateur commun à ces packages est l’utilisation du script setup.py pour inclure des références à d’autres packages malveillants (c’est-à-dire pystob et pywool) qui déploient un script Visual Basic (VBScript) afin de télécharger et d’exécuter un fichier nommé « Runtime. exe » pour obtenir la persistance sur l’hôte.
Le binaire contient un fichier compilé capable de collecter des informations à partir de navigateurs Web, de portefeuilles de crypto-monnaie et d’autres applications.
Une chaîne d’attaque alternative observée par Checkmarx aurait caché le code exécutable dans une image PNG (« uwu.png »), qui est ensuite décodée et exécutée pour extraire l’adresse IP publique et l’identifiant universellement unique (UUID) du système concerné.
Pystob et Pywool, en particulier, ont été publiés sous couvert d’outils de gestion d’API, uniquement pour exfiltrer les données vers un webhook Discord et tenter de maintenir la persistance en plaçant le fichier VBS dans le dossier de démarrage de Windows.
« Cette campagne constitue un nouveau rappel brutal des menaces omniprésentes qui existent dans le paysage numérique d’aujourd’hui, en particulier dans les domaines où la collaboration et l’échange ouvert de code sont fondamentaux », a déclaré Checkmarx.
Le développement intervient sous le nom de ReversingLabs découvert une nouvelle vague de logiciels de protestation npm qui « cachent des scripts diffusant des messages de paix liés aux conflits en Ukraine, en Israël et dans la bande de Gaza ».
L’un des packages, nommé @snyk/pull-peigne (version 2.1.1), détermine la situation géographique de l’hôte, et s’il s’avère qu’il s’agit de la Russie, affiche un message critiquant « l’invasion injustifiée » de l’Ukraine à travers un autre module appelé «es5-ext« .
Un autre paquet, e2eakareva la description « paquet de protestation gratuit contre la Palestine » dans le fichier package.json et effectue des vérifications similaires pour voir si l’adresse IP correspond à Israël, et si c’est le cas, enregistre ce qui est décrit comme un « message de protestation inoffensif » qui exhorte les développeurs à sensibiliser à la lutte palestinienne.
Il ne s’agit pas uniquement d’acteurs malveillants qui infiltrent les écosystèmes open source. Plus tôt cette semaine, GitGuardian révélé la présence de 3 938 secrets uniques au total dans 2 922 projets PyPI, parmi lesquels 768 secrets uniques se sont révélés valides.
Cela inclut les clés AWS, les clés API Azure Active Directory, les clés d’application GitHub OAuth, les clés Dropbox, les clés SSH et les informations d’identification associées à MongoDB, MySQL, PostgreSQL, Coinbase et Twilio.
De plus, bon nombre de ces secrets ont été divulgués plus d’une fois, couvrant plusieurs versions, portant le nombre total d’occurrences à 56 866.
« Révéler des secrets dans des packages open source comporte des risques importants pour les développeurs et les utilisateurs », a déclaré Tom Forbes de GitGuardian. « Les attaquants peuvent exploiter ces informations pour obtenir un accès non autorisé, se faire passer pour les responsables du paquet ou manipuler les utilisateurs grâce à des tactiques d’ingénierie sociale. »
La vague continue d’attaques ciblant la chaîne d’approvisionnement de logiciels a également incité le gouvernement américain à publier ce mois-ci de nouvelles directives destinées aux développeurs et fournisseurs de logiciels afin de maintenir et de sensibiliser à la sécurité des logiciels.
« Il est recommandé aux organisations d’acquisition d’attribuer des évaluations des risques de la chaîne d’approvisionnement à leurs décisions d’achat compte tenu des récents incidents très médiatisés de la chaîne d’approvisionnement de logiciels », ont déclaré la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Bureau du directeur. du renseignement national (ODNI) dit.
« Les développeurs et fournisseurs de logiciels devraient améliorer leurs processus de développement de logiciels et réduire les risques de préjudice non seulement pour les employés et les actionnaires, mais également pour leurs utilisateurs. »