{"id":1086661,"date":"2024-01-04T10:05:14","date_gmt":"2024-01-04T12:05:14","guid":{"rendered":"https:\/\/teknomers.com\/fr\/attention-3-packages-pypi-malveillants-detectes-ciblant-linux-avec-des-mineurs-de-crypto-monnaie\/"},"modified":"2024-01-04T10:05:19","modified_gmt":"2024-01-04T12:05:19","slug":"attention-3-packages-pypi-malveillants-detectes-ciblant-linux-avec-des-mineurs-de-crypto-monnaie","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/attention-3-packages-pypi-malveillants-detectes-ciblant-linux-avec-des-mineurs-de-crypto-monnaie\/","title":{"rendered":"Attention\u00a0:\u00a03 packages PyPI malveillants d\u00e9tect\u00e9s ciblant Linux avec des mineurs de crypto-monnaie"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">04 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Mineur de crypto-monnaie \/ Malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Attention-3-packages-PyPI-malveillants-detectes-ciblant-Linux-avec-des-mineurs.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Trois nouveaux packages malveillants ont \u00e9t\u00e9 d\u00e9couverts dans le r\u00e9f\u00e9rentiel open source Python Package Index (PyPI) avec des capacit\u00e9s permettant de d\u00e9ployer un mineur de crypto-monnaie sur les appareils Linux concern\u00e9s.<\/p>\n<p>Les trois packages nuisibles, nomm\u00e9s modularseven, driftme et catme, ont attir\u00e9 un total de 431 t\u00e9l\u00e9chargements au cours du mois dernier avant d&#8217;\u00eatre supprim\u00e9s.<\/p>\n<p>&#8220;Ces packages, lors de leur premi\u00e8re utilisation, d\u00e9ploient un ex\u00e9cutable CoinMiner sur les appareils Linux&#8221;, Gabby Xiong, chercheur chez Fortinet FortiGuard Labs. <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/malicious-pypi-packages-deploy-coinminer-on-linux-devices\" target=\"_blank\">dit<\/a>l&#8217;ajout des partages de campagne chevauche une campagne pr\u00e9c\u00e9dente qui impliquait l&#8217;utilisation d&#8217;un package appel\u00e9 culturestreak pour d\u00e9ployer un mineur de crypto.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le code malveillant r\u00e9side dans le fichier __init__.py, qui d\u00e9code et r\u00e9cup\u00e8re en premi\u00e8re \u00e9tape depuis un serveur distant, un script shell (&#8220;unmi.sh&#8221;) qui r\u00e9cup\u00e8re un fichier de configuration pour l&#8217;activit\u00e9 de minage ainsi que le fichier CoinMiner <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/gitlab.com\/ajo9082734\/Mine\" target=\"_blank\">h\u00e9berg\u00e9 sur GitLab<\/a>.<\/p>\n<p>Le <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.virustotal.com\/gui\/file\/df0211bf54174b5766366eecfb0a04c4a59346478e1507b6685fbaed6b2d2aca\" target=\"_blank\">ELF binaire<\/a> Le fichier est ensuite ex\u00e9cut\u00e9 en arri\u00e8re-plan \u00e0 l&#8217;aide du <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/en.wikipedia.org\/wiki\/Nohup\" target=\"_blank\">commande nohup<\/a>garantissant ainsi que le processus continue de s&#8217;ex\u00e9cuter apr\u00e8s la sortie de la session.<\/p>\n<p>\u00ab Faisant \u00e9cho \u00e0 l&#8217;approche du pr\u00e9c\u00e9dent package \u00ab Culturestreak \u00bb, ces packages dissimulent leur charge utile, r\u00e9duisant ainsi la d\u00e9tectabilit\u00e9 de leur code malveillant en l&#8217;h\u00e9bergeant sur une URL distante \u00bb, a d\u00e9clar\u00e9 Xiong.  &#8220;La charge utile est ensuite progressivement lib\u00e9r\u00e9e en diff\u00e9rentes \u00e9tapes pour ex\u00e9cuter ses activit\u00e9s malveillantes.&#8221;<\/p>\n<p>Les connexions au package culturestreak proviennent \u00e9galement du fait que le fichier de configuration est h\u00e9berg\u00e9 sur le domaine papiculo[.]net et les ex\u00e9cutables de minage de pi\u00e8ces sont h\u00e9berg\u00e9s sur un r\u00e9f\u00e9rentiel GitLab public.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Une am\u00e9lioration notable dans les trois nouveaux packages est l&#8217;introduction d&#8217;une \u00e9tape suppl\u00e9mentaire en dissimulant leur intention n\u00e9faste dans le script shell, l&#8217;aidant ainsi \u00e0 \u00e9chapper \u00e0 la d\u00e9tection par le logiciel de s\u00e9curit\u00e9 et \u00e0 allonger le processus d&#8217;exploitation.<\/p>\n<p>&#8220;De plus, ce malware ins\u00e8re les commandes malveillantes dans le fichier ~\/.bashrc&#8221;, a expliqu\u00e9 Xiong.  &#8220;Cet ajout garantit la persistance et la r\u00e9activation du logiciel malveillant sur l&#8217;appareil de l&#8217;utilisateur, prolongeant ainsi efficacement la dur\u00e9e de son op\u00e9ration secr\u00e8te. Cette strat\u00e9gie facilite l&#8217;exploitation prolong\u00e9e et furtive de l&#8217;appareil de l&#8217;utilisateur au profit de l&#8217;attaquant.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/beware-3-malicious-pypi-packages-found.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80204 janvier 2024\ue804R\u00e9dactionMineur de crypto-monnaie \/ Malware Trois nouveaux packages malveillants ont \u00e9t\u00e9 d\u00e9couverts dans le r\u00e9f\u00e9rentiel open source Python Package Index (PyPI) avec des capacit\u00e9s permettant de d\u00e9ployer un mineur de crypto-monnaie sur les appareils Linux concern\u00e9s. Les trois packages nuisibles, nomm\u00e9s modularseven, driftme et catme, ont attir\u00e9 un total de 431 t\u00e9l\u00e9chargements au [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1086662,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,222957,84,4175,4168,1966,4165,4161,200267,133,42137,4159,4171,18088,200271,4590,10821,200268,200269,200270,7309,69497,128318,4172,4169,4166,4164],"class_list":["post-1086661","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-attention3","tag-avec","tag-ciblant","tag-comment-pirater","tag-cryptomonnaie","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-detectes","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-linux","tag-logiciel-malveillant-rancongiciel","tag-malveillants","tag-mineurs","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-packages","tag-pypi","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1086661","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1086661"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1086661\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1086662"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1086661"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1086661"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1086661"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}