15 mars 2025Ravie Lakshmanan Sécurité de logiciels malveillants / de la chaîne d’approvisionnement

Les chercheurs en cybersécurité ont mis en garde contre une campagne malveillante ciblant les utilisateurs du référentiel Python Package Index (PYPI) avec des bibliothèques fausses déguisées comme des utilitaires liés à “temps”, mais en hébergeant des fonctionnalités cachées pour voler des données sensibles telles que les jetons d’accès cloud.

Société de sécurité de la chaîne d’approvisionnement REVERSINGLABS dit Il a découvert deux ensembles de packages totalisant 20 d’entre eux. Les packages ont été téléchargés cumulativement plus de 14 100 fois –

  • Snapshot-Photo (2 448 téléchargements)
  • Time-Check-Server (316 téléchargements)
  • Time-Check-Server-get (178 téléchargements)
  • Analyse temporelle (144 téléchargements)
  • Time-Server-Analyzer (74 téléchargements)
  • Test-serveur (155 téléchargements)
  • Time-Service-Checker (151 téléchargements)
  • ACLIENT-SDK (120 téléchargements)
  • ACloud-Client (5 496 téléchargements)
  • acloud-Clients (198 téléchargements)
  • ACLOUD-CLIENT-USES (294 téléchargements)
  • Alicloud-Client (622 téléchargements)
  • Alicloud-Client-Sdk (206 téléchargements)
  • AmzClients-sdk (100 téléchargements)
  • Awscloud-Clients-core (206 téléchargements)
  • Prise de identification-python-sdk (1 155 téléchargements)
  • Enumer-IAM (1 254 téléchargements)
  • TCIENTS-SDK (173 téléchargements)
  • tcloud-python-sdks (98 téléchargements)
  • Tcloud-Python-Test (793 téléchargements)

Bien que le premier ensemble se rapporte aux packages utilisés pour télécharger des données sur l’infrastructure de l’acteur de menace, le deuxième cluster se compose de packages implémentant les fonctionnalités du client cloud pour plusieurs services comme Alibaba Cloud, Amazon Web Services et Tencent Cloud.

Cybersécurité

Mais ils ont également utilisé des packages liés à “Time” pour exfiltrer les secrets de cloud. Tous les packages identifiés ont déjà été supprimés de PYPI comme écrivant.

Une analyse plus approfondie a révélé que trois des packages, acloud-client, Enumer-IAMet tcloud-python-testa été répertorié comme les dépendances d’un projet Github relativement populaire nommé AccessKey_Tools Cela a été fourchu 42 fois et a joué 519 fois.

Packages PYPI malveillants

Un test de code source référençant le Tcloud-Python-Test a été fait le 8 novembre 2023, indiquant que le package est disponible en téléchargement sur PYPI depuis lors. Le package a été téléchargé 793 fois à ce jour, selon les statistiques de Pepy.tech.

La divulgation survient alors que Fortinet Fortiguard Labs a déclaré avoir découvert des milliers de packages à travers le PYPI et le NPM, dont certains ont été trouvés pour intégrer des scripts d’installation suspects conçus pour déployer du code malveillant lors de l’installation ou communiquer avec des serveurs externes.

“Les URL suspectes sont un indicateur clé de packages potentiellement malveillants, car ils sont souvent utilisés pour télécharger des charges utiles supplémentaires ou établir une communication avec les serveurs de commandement et de contrôle (C&C), donnant aux attaquants le contrôle des systèmes infectés”, Jenna Wang dit.

“Dans 974 packages, ces URL sont liées au risque d’exfiltration de données, à d’autres téléchargements de logiciels malveillants et à d’autres actions malveillantes. Il est crucial de examiner et de surveiller les URL externes dans les dépendances de package pour empêcher l’exploitation.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57