Des chercheurs en cybersécurité ont découvert un package Python malveillant téléchargé dans le référentiel Python Package Index (PyPI), conçu pour diffuser un voleur d’informations appelé Lumma (alias LummaC2).
Le paquet en question est crytic-compilers, une version typosquattée d’une bibliothèque légitime nommée compilation-crytique. Le paquet malveillant était téléchargé 441 fois avant qu’il ne soit supprimé par les responsables de PyPI.
« La bibliothèque contrefaite est intéressante en ce sens qu’en plus [to] étant nommé d’après l’utilitaire Python légitime, « crytic-compile », il aligne ses numéros de version avec la véritable bibliothèque », a déclaré Axe Sharma, chercheur en sécurité chez Sonatype. dit.
« Alors que la dernière version de la vraie bibliothèque s’arrête à 0.3.7, la version contrefaite des ‘crytic-compilers’ reprend ici et se termine à 0.3.11, ce qui donne l’impression qu’il s’agit d’une version plus récente du composant. »
Dans une autre tentative pour maintenir la ruse, certaines versions de compilateurs crytic (par exemple, 0.3.9) ont été trouvées pour installer le paquet lui-même au moyen d’une modification du script setup.py.
La dernière version, cependant, abandonne toute prétention d’une bibliothèque inoffensive en déterminant si le système d’exploitation est Windows et, si c’est le cas, lance un exécutable (« s.exe« ), qui, à son tour, est conçu pour récupérer des charges utiles supplémentaires, y compris le Lumma Stealer.
Voleur d’informations accessible à d’autres acteurs criminels sous un modèle de malware en tant que service (MaaS), Lumma a été distribué via diverses méthodes telles que des logiciels troyens, des publicités malveillantes et même de fausses mises à jour de navigateur.
Cette découverte « démontre que des acteurs malveillants chevronnés ciblent désormais les développeurs Python et abusent des registres open source comme PyPI comme canal de distribution de leur puissant arsenal de vol de données », a déclaré Sharma.
Les fausses campagnes de mise à jour du navigateur ciblent des centaines de sites WordPress
Le développement intervient alors que Sucuri a révélé que plus de 300 sites WordPress ont été compromis par des fenêtres contextuelles malveillantes de mise à jour de Google Chrome qui redirigent les visiteurs du site vers de faux installateurs MSIX conduisant au déploiement de voleurs d’informations et de chevaux de Troie d’accès à distance.
Les chaînes d’attaque impliquent que les acteurs malveillants obtiennent un accès non autorisé à l’interface d’administration de WordPress et installent un plugin WordPress légitime appelé Hustle – Marketing par e-mail, génération de leads, optins, popups pour télécharger le code responsable de l’affichage des fausses fenêtres contextuelles de mise à jour du navigateur.
« Cette campagne souligne une tendance croissante parmi les pirates informatiques à exploiter des plugins légitimes à des fins malveillantes », a déclaré Puja Srivastava, chercheur en sécurité. dit. « Ce faisant, ils peuvent échapper à la détection par les scanners de fichiers, car la plupart des plugins stockent leurs données dans la base de données WordPress. »