Un package dormant disponible sur le référentiel Python Package Index (PyPI) a été mis à jour presque après deux ans pour propager un malware voleur d’informations appelé Nova Sentinel.
Le paquet, nommé Django-log-trackera été publié pour la première fois sur PyPI en avril 2022, selon la société de sécurité de la chaîne d’approvisionnement logicielle Phylum, qui détecté une mise à jour anormale de la bibliothèque le 21 février 2024.
Tandis que le dépôt GitHub lié n’a pas été mis à jour depuis le 10 avril 2022, l’introduction d’une mise à jour malveillante suggère une probable compromission du compte PyPI appartenant au développeur.
Django-log-tracker a été téléchargé 3 866 fois à ce jour, avec la version malveillante (1.0.4) téléchargée 107 fois à la date de sa publication. Le package n’est plus disponible au téléchargement depuis PyPI.
« Dans la mise à jour malveillante, l’attaquant a supprimé le package de la majeure partie de son contenu d’origine, ne laissant derrière lui qu’un fichier __init__.py et example.py », a déclaré la société.
Les changements, simples et explicites, impliquent de récupérer un exécutable nommé « Updater_1.4.4_x64.exe » depuis un serveur distant (« 45.88.180[.]54 »), suivi de son lancement à l’aide de Python Fonction os.startfile().
Le binaire, quant à lui, est intégré à Nova Sentinel, un malware voleur qui a été documenté pour la première fois par Sekoia en novembre 2023 comme étant distribué sous la forme de fausses applications Electron sur de faux sites proposant des téléchargements de jeux vidéo.
« Ce qui est intéressant dans ce cas particulier […] est que le vecteur d’attaque semblait être une tentative d’attaque de la chaîne d’approvisionnement via un compte PyPI compromis », a déclaré Phylum.
« S’il s’agissait d’un package très populaire, tout projet avec ce package répertorié comme dépendance sans version spécifiée ou version flexible spécifiée dans son fichier de dépendance aurait extrait la dernière version malveillante de ce package. »