Les chercheurs en cybersécurité ont découvert deux packages malveillants dans le référentiel Python Package Index (PyPI) qui exploitaient une technique appelée chargement latéral de DLL pour contourner la détection par les logiciels de sécurité et exécuter du code malveillant.
Les paquets, nommés NP6HelperHttptest et NP6HelperHttperont été chacun téléchargés 537 et 166 foisrespectivement, avant leur retrait.
« La dernière découverte est un exemple de chargement latéral de DLL exécuté par un package open source qui suggère que la portée des menaces sur la chaîne d’approvisionnement logicielle est en expansion », Petar Kirhmajer, chercheur à ReversingLabs. dit dans un rapport partagé avec The Hacker News.
Le nom NP6 est remarquable car il fait référence à une solution légitime d’automatisation du marketing conçue par ChapsVision. En particulier, les faux packages sont des typosquats de NP6HelperHttp et NP6HelperConfig, qui sont des outils d’aide publiés par l’un des employés de ChapsVision sur PyPI.
En d’autres termes, l’objectif est d’inciter les développeurs recherchant NP6HelperHttp et NP6HelperConfig à télécharger leurs homologues malveillants.
Les deux bibliothèques contiennent un script setup.py conçu pour télécharger deux fichiers, un véritable exécutable de Kingsoft Corporation (« ComServer.exe »), basé à Pékin, qui est vulnérable au chargement latéral de la DLL et à la DLL malveillante à charger latéralement. (« dgdeskband64.dll »).
En chargeant latéralement la DLL, l’objectif est d’éviter la détection du code malveillant, comme observé précédemment dans le cas d’un package npm appelé aabquerys qui exploitait également la même technique pour exécuter du code capable de déployer un cheval de Troie d’accès à distance.
La DLL, quant à elle, atteint un domaine contrôlé par un attaquant (« us.archive-ubuntu[.]top ») pour récupérer un fichier GIF qui, en réalité, est un morceau de shellcode pour une Cobalt Strike Beacon, une boîte à outils de post-exploitation utilisée pour le red teaming.
Il existe des preuves suggérant que les packages font partie d’une campagne plus large impliquant la distribution d’exécutables similaires susceptibles au chargement latéral de DLL.
« Les organisations de développement doivent être conscientes des menaces liées à la sécurité de la chaîne d’approvisionnement et aux référentiels de packages open source », a déclaré le chercheur en sécurité Karlo Zanki.
« Même s’ils n’utilisent pas de référentiels de packages open source, cela ne signifie pas que les acteurs malveillants n’en abuseront pas pour usurper l’identité d’entreprises et de leurs produits et outils logiciels. »