Les chercheurs ont découvert un certain nombre de packages Python malveillants dans le référentiel de logiciels tiers officiel qui sont conçus pour exfiltrer les informations d’identification AWS et les variables d’environnement vers un point de terminaison exposé publiquement.
La liste des packages comprend loglib-modules, pyg-modules, pygrata, pygrata-utils et hkg-sol-utils, selon Ax Sharma, chercheur en sécurité chez Sonatype. Les packages ainsi que le point de terminaison ont maintenant été supprimés.
« Certains de ces packages contiennent soit du code qui lit et exfiltre vos secrets, soit utilisent l’une des dépendances qui fera le travail », a déclaré Sharma. a dit.
Le code malveillant injecté dans « loglib-modules » et « pygrata-utils » lui permet de récolter les informations d’identification AWS, les informations d’interface réseau et les variables d’environnement et de les exporter vers un point de terminaison distant : « hxxp://graph.pygrata[.]com:8000/téléchargement. »
Fait troublant, les terminaux hébergeant ces informations sous la forme de centaines de fichiers .TXT n’étaient sécurisés par aucune barrière d’authentification, permettant ainsi à toute partie sur le Web d’accéder à ces informations d’identification.
Il est à noter que des packages tels que « pygrata » utilisent l’un des deux packages susmentionnés comme dépendance et n’hébergent pas le code eux-mêmes. L’identité de l’auteur de la menace et ses motivations restent floues.
« Les informations d’identification volées ont-elles été intentionnellement exposées sur le Web ou une conséquence de mauvaises pratiques OPSEC ? », a interrogé Sharma. « S’il s’agit d’une sorte de test de sécurité légitime, il n’y a sûrement pas beaucoup d’informations à l’heure actuelle pour exclure la nature suspecte de cette activité. »
Ce n’est pas la première fois que de tels packages malveillants sont découverts sur des référentiels open source. Il y a exactement un mois, deux packages Python et PHP contenant des chevaux de Troie, nommés ctx et phpass, ont été découverts dans un autre cas d’attaque de la chaîne d’approvisionnement logicielle.
Un chercheur en sécurité basé à Istanbul, Yunus Aydın, a par la suite revendiqué la responsabilité des modifications non autorisées, déclarant qu’il voulait simplement « montrer comment cette simple attaque affecte +10 millions d’utilisateurs et d’entreprises ».
Dans le même ordre d’idées, une société allemande de tests d’intrusion nommée Code White a reconnu le mois dernier avoir téléchargé des packages malveillants dans le registre NPM dans le but d’imiter de manière réaliste les attaques de confusion de dépendance ciblant ses clients dans le pays, dont la plupart sont des médias, de la logistique, et les entreprises industrielles.