Des chercheurs en cybersécurité ont découvert un package malveillant dans le référentiel Python Package Index (PyPI) qui cible les systèmes Apple macOS dans le but de voler les informations d’identification Google Cloud des utilisateurs à partir d’un groupe restreint de victimes.
Le paquet, nommé « lr-utils-lib », a attiré un total de 59 téléchargements avant d’être supprimée. Elle a été téléchargée dans le registre début juin 2024.
« Le logiciel malveillant utilise une liste de hachages prédéfinis pour cibler des machines macOS spécifiques et tente de récolter les données d’authentification de Google Cloud », explique Yehuda Gelb, chercheur chez Checkmarx. dit dans un rapport publié vendredi. « Les informations d’identification collectées sont envoyées à un serveur distant. »
Un aspect important du package est qu’il vérifie d’abord s’il a été installé sur un système macOS, puis procède ensuite à la comparaison de l’identifiant unique universel (UUID) du système avec une liste codée en dur de 64 hachages.
Si la machine compromise fait partie de celles spécifiées dans l’ensemble prédéfini, elle tente d’accéder à deux fichiers, à savoir application_default_credentials.json et credentials.db, situés dans le répertoire ~/.config/gcloud, qui contiennent les données d’authentification Google Cloud.
Les informations capturées sont ensuite transmises via HTTP à un serveur distant « europe-west2-workload-422915[.]fonctions du cloud[.]filet. »
Checkmarx a déclaré avoir également trouvé un faux profil sur LinkedIn avec le nom « Lucid Zenith » qui correspondait au propriétaire du package et prétendait faussement être le PDG d’Apex Companies, suggérant un possible élément d’ingénierie sociale dans l’attaque.
On ne sait pas exactement qui se cache derrière cette campagne. Elle survient cependant plus de deux mois après que la société de cybersécurité Phylum a révélé les détails d’une autre attaque de la chaîne d’approvisionnement impliquant un package Python appelé « requests-darwin-lite » qui s’est également révélé capable de déclencher ses actions malveillantes après vérification de l’UUID de l’hôte macOS.
Ces campagnes sont le signe que les acteurs malveillants ont une connaissance préalable des systèmes macOS qu’ils souhaitent infiltrer et qu’ils mettent tout en œuvre pour garantir que les packages malveillants ne soient distribués que sur ces machines particulières.
Il évoque également les tactiques employées par les acteurs malveillants pour distribuer des packages similaires, dans le but de tromper les développeurs afin qu’ils les incorporent dans leurs applications.
« Bien qu’il ne soit pas certain que cette attaque ait visé des particuliers ou des entreprises, ce type d’attaque peut avoir un impact considérable sur les entreprises », a déclaré Gelb. « Bien que la compromission initiale se produise généralement sur la machine d’un développeur individuel, les conséquences pour les entreprises peuvent être considérables. »