Les administrateurs du référentiel Python Package Index (PyPI) ont mis le package en quarantaine « aiocpa » suite à une nouvelle mise à jour qui incluait du code malveillant pour exfiltrer les clés privées via Telegram.
Le colis en question est décrit comme synchrone et asynchrone API de paiement cryptographique client. Le package, initialement publié en septembre 2024, a été téléchargé 12 100 fois à ce jour.
En mettant la bibliothèque Python en quarantaine, elle empêche toute installation ultérieure par les clients et ne peut pas être modifiée par ses responsables.
La société de cybersécurité Phylum, qui commun détails de l’attaque de la chaîne d’approvisionnement logicielle la semaine dernière, a déclaré l’auteur du package qui a publié la mise à jour malveillante de PyPI, tout en conservant les informations de la bibliothèque Dépôt GitHub nettoyer pour tenter d’échapper à la détection.
Il n’est actuellement pas clair si le développeur d’origine était à l’origine de la mise à jour malveillante ou si ses informations d’identification ont été compromises par un autre acteur malveillant.
Les signes d’activité malveillante ont été repérés pour la première fois dans la version 0.1.13 de la bibliothèque, qui comprenait une modification du script Python « sync.py » conçu pour décoder et exécuter une goutte de code obscurcie immédiatement après l’installation du package.
« Ce blob particulier est codé et compressé de manière récursive 50 fois », a déclaré Phylum, ajoutant qu’il est utilisé pour capturer et transmettre le jeton API Crypto Pay de la victime à l’aide d’un robot Telegram.
Il convient de noter que Crypto Pay est présenté comme un système de paiement basé sur Bot cryptographique (@CryptoBot) qui permet aux utilisateurs d’accepter des paiements en crypto et de transférer des pièces aux utilisateurs utilisant l’API.
L’incident est important, notamment parce qu’il souligne l’importance d’analyser le code source du package avant de le télécharger, plutôt que de simplement vérifier les référentiels associés.
« Comme démontré ici, les attaquants peuvent délibérément maintenir des dépôts de sources propres tout en distribuant des packages malveillants aux écosystèmes », a déclaré la société, ajoutant que l’attaque « rappelle que les antécédents de sécurité d’un package ne garantissent pas sa sécurité continue ».
Mise à jour
Le package aiocpa a été formellement supprimé du référentiel PyPI.