Un nouvel ensemble de packages Python malveillants s’est frayé un chemin vers le référentiel Python Package Index (PyPI) dans le but ultime de voler des informations sensibles sur les systèmes de développement compromis.
Les packages se font passer pour des outils d’obscurcissement apparemment inoffensifs, mais hébergent un logiciel malveillant appelé BlazeStealera déclaré Checkmarx dans un rapport partagé avec The Hacker News.
« [BlazeStealer] récupère un script malveillant supplémentaire à partir d’une source externe, activant un robot Discord qui donne aux attaquants un contrôle total sur l’ordinateur de la victime », a déclaré le chercheur en sécurité Yehuda Gelb.
La campagne, qui a débuté en janvier 2023, comprend un total de huit packages nommés Pyobftoexe, Pyobfusfile, Pyobfexecute, Pyobfpremium, Pyobflite, Pyobfadvance, Pyobfuse et pyobfgood, dont le dernier a été publié en octobre.
Ces modules sont livrés avec les fichiers setup.py et init.py conçus pour récupérer un script Python hébergé lors du transfert[.]sh, qui est exécuté immédiatement après son installation.
Appelé BlazeStealer, le malware exécute un robot Discord et permet à l’acteur malveillant de récolter un large éventail d’informations, notamment les mots de passe des navigateurs Web et des captures d’écran, d’exécuter des commandes arbitraires, de chiffrer des fichiers et de désactiver Microsoft Defender Antivirus sur l’hôte infecté.
De plus, cela peut rendre l’ordinateur inutilisable en augmentant l’utilisation du processeur, en insérant un script Windows Batch dans le répertoire de démarrage pour arrêter la machine et même en forçant une erreur d’écran bleu de la mort (BSoD).
« Il va de soi que les développeurs engagés dans l’obscurcissement du code traitent probablement des informations précieuses et sensibles, et par conséquent, pour un pirate informatique, cela se traduit par une cible qui mérite d’être poursuivie », a noté Gelb.
La majorité des téléchargements associés aux packages malveillants proviennent des États-Unis, suivis de la Chine, de la Russie, de l’Irlande, de Hong Kong, de la Croatie, de la France et de l’Espagne. Ils ont été téléchargés collectivement 2 438 fois avant d’être supprimés.
« Le domaine open source reste un terrain fertile pour l’innovation, mais il exige de la prudence », a déclaré Gelb. « Les développeurs doivent rester vigilants et vérifier les packages avant leur consommation. »