Un paquet malveillant découvert sur le Python Package Index (PyPI) utilise une astuce stéganographique pour dissimuler le code malveillant dans les fichiers image.
Le colis en question, nommé « apicolor« , a été téléchargé sur le référentiel tiers Python le 31 octobre 2022 et décrit comme une » bibliothèque principale pour l’API REST « , selon la société israélienne de cybersécurité Point de contrôle. C’est depuis démonté.
Apicolor, comme d’autres packages malveillants détectés récemment, héberge son comportement malveillant dans le script de configuration utilisé pour spécifier les métadonnées associées au package, telles que ses dépendances.
Cela prend la forme d’un deuxième package appelé « judyb » ainsi que d’un fichier PNG apparemment inoffensif (« 8F4D2uF.png ») hébergé sur Imgur, un service de partage d’images.
« Le code judyb s’est avéré être un module de stéganographie, responsable [for] cacher et révéler des messages cachés à l’intérieur des images », a expliqué Check Point.
La chaîne d’attaque consiste à utiliser le package judyb pour extraire le code Python obscurci intégré dans l’image téléchargée, qui, lors du décodage, est conçu pour récupérer et exécuter un binaire malveillant à partir d’un serveur distant.
Le développement fait partie d’une tendance continue où les acteurs de la menace se tournent de plus en plus vers l’écosystème open source pour exploiter la confiance associée aux logiciels tiers pour monter des attaques sur la chaîne d’approvisionnement.
Plus troublant encore, ces bibliothèques malveillantes peuvent être intégrées à d’autres projets open source et publiées sur GitHub, élargissant ainsi la portée et l’échelle des attaques.
« Ces résultats reflètent une planification et une réflexion minutieuses par un acteur de la menace, qui prouve que les techniques d’obscurcissement sur PyPI ont évolué », a déclaré la société.