{"id":1158217,"date":"2024-02-20T19:12:40","date_gmt":"2024-02-20T21:12:40","guid":{"rendered":"https:\/\/teknomers.com\/fr\/de-nouveaux-packages-pypi-malveillants-detectes-a-laide-de-tactiques-secretes-de-chargement-lateral\/"},"modified":"2024-02-20T19:12:53","modified_gmt":"2024-02-20T21:12:53","slug":"de-nouveaux-packages-pypi-malveillants-detectes-a-laide-de-tactiques-secretes-de-chargement-lateral","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/de-nouveaux-packages-pypi-malveillants-detectes-a-laide-de-tactiques-secretes-de-chargement-lateral\/","title":{"rendered":"De nouveaux packages PyPI malveillants d\u00e9tect\u00e9s \u00e0 l&#8217;aide de tactiques secr\u00e8tes de chargement lat\u00e9ral"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">20 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants\/s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/De-nouveaux-packages-PyPI-malveillants-detectes-a-laide-de-tactiques.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert deux packages malveillants dans le r\u00e9f\u00e9rentiel Python Package Index (PyPI) qui exploitaient une technique appel\u00e9e chargement lat\u00e9ral de DLL pour contourner la d\u00e9tection par les logiciels de s\u00e9curit\u00e9 et ex\u00e9cuter du code malveillant.<\/p>\n<p>Les paquets, nomm\u00e9s <strong>NP6HelperHttptest<\/strong> et <strong>NP6HelperHttper<\/strong>ont \u00e9t\u00e9 chacun t\u00e9l\u00e9charg\u00e9s <a rel=\"nofollow noopener\" href=\"https:\/\/www.pepy.tech\/projects\/NP6HelperHttptest\" target=\"_blank\">537<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.pepy.tech\/projects\/NP6HelperHttper\" target=\"_blank\">166 fois<\/a>respectivement, avant leur retrait.<\/p>\n<p>&#8220;La derni\u00e8re d\u00e9couverte est un exemple de chargement lat\u00e9ral de DLL ex\u00e9cut\u00e9 par un package open source qui sugg\u00e8re que la port\u00e9e des menaces sur la cha\u00eene d&#8217;approvisionnement logicielle est en expansion&#8221;, Petar Kirhmajer, chercheur \u00e0 ReversingLabs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.reversinglabs.com\/blog\/attackers-leverage-pypi-to-sideload-malicious-dlls\" target=\"_blank\">dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/boundaries728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708021586_957_Ivanti-Pulse-Secure-detecte-a-laide-dune-version-Linux-vieille.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le nom NP6 est remarquable car il fait r\u00e9f\u00e9rence \u00e0 une solution l\u00e9gitime d&#8217;automatisation du marketing con\u00e7ue par ChapsVision.  En particulier, les faux packages sont des typosquats de NP6HelperHttp et NP6HelperConfig, qui sont des outils d&#8217;aide publi\u00e9s par l&#8217;un des employ\u00e9s de ChapsVision sur PyPI.<\/p>\n<p>En d\u2019autres termes, l\u2019objectif est d\u2019inciter les d\u00e9veloppeurs recherchant NP6HelperHttp et NP6HelperConfig \u00e0 t\u00e9l\u00e9charger leurs homologues malveillants.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708463558_357_De-nouveaux-packages-PyPI-malveillants-detectes-a-laide-de-tactiques.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1708463558_357_De-nouveaux-packages-PyPI-malveillants-detectes-a-laide-de-tactiques.jpg\" alt=\"Packages PyPI malveillants\" border=\"0\" data-original-height=\"271\" data-original-width=\"728\" title=\"Packages PyPI malveillants\"\/><\/a><\/div>\n<p>Les deux biblioth\u00e8ques contiennent un script setup.py con\u00e7u pour t\u00e9l\u00e9charger deux fichiers, un v\u00e9ritable ex\u00e9cutable de Kingsoft Corporation (\u00ab ComServer.exe \u00bb), bas\u00e9 \u00e0 P\u00e9kin, qui est vuln\u00e9rable au chargement lat\u00e9ral de la DLL et \u00e0 la DLL malveillante \u00e0 charger lat\u00e9ralement. (&#8220;dgdeskband64.dll&#8221;).<\/p>\n<p>En chargeant lat\u00e9ralement la DLL, l&#8217;objectif est d&#8217;\u00e9viter la d\u00e9tection du code malveillant, comme observ\u00e9 pr\u00e9c\u00e9demment dans le cas d&#8217;un package npm appel\u00e9 aabquerys qui exploitait \u00e9galement la m\u00eame technique pour ex\u00e9cuter du code capable de d\u00e9ployer un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<p>La DLL, quant \u00e0 elle, atteint un domaine contr\u00f4l\u00e9 par un attaquant (\u00ab us.archive-ubuntu[.]top&#8221;) pour r\u00e9cup\u00e9rer un fichier GIF qui, en r\u00e9alit\u00e9, est un morceau de shellcode pour une Cobalt Strike Beacon, une bo\u00eete \u00e0 outils de post-exploitation utilis\u00e9e pour le red teaming.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Le-logiciel-malveillant-Bumblebee-revient-avec-de-nouvelles-astuces-ciblant.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il existe des preuves sugg\u00e9rant que les packages font partie d&#8217;une campagne plus large impliquant la distribution d&#8217;ex\u00e9cutables similaires susceptibles au chargement lat\u00e9ral de DLL.<\/p>\n<p>&#8220;Les organisations de d\u00e9veloppement doivent \u00eatre conscientes des menaces li\u00e9es \u00e0 la s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement et aux r\u00e9f\u00e9rentiels de packages open source&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Karlo Zanki.<\/p>\n<p>&#8220;M\u00eame s&#8217;ils n&#8217;utilisent pas de r\u00e9f\u00e9rentiels de packages open source, cela ne signifie pas que les acteurs malveillants n&#8217;en abuseront pas pour usurper l&#8217;identit\u00e9 d&#8217;entreprises et de leurs produits et outils logiciels.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/new-malicious-pypi-packages-caught.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80220 f\u00e9vrier 2024\ue804R\u00e9dactionLogiciels malveillants\/s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert deux packages malveillants dans le r\u00e9f\u00e9rentiel Python Package Index (PyPI) qui exploitaient une technique appel\u00e9e chargement lat\u00e9ral de DLL pour contourner la d\u00e9tection par les logiciels de s\u00e9curit\u00e9 et ex\u00e9cuter du code malveillant. Les paquets, nomm\u00e9s NP6HelperHttptest et NP6HelperHttperont \u00e9t\u00e9 chacun [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1158218,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,30675,4168,4165,4161,200267,42137,4159,4171,1151,15785,200271,4590,200268,4588,200269,200270,7309,69497,11073,128318,4172,4169,11977,4166,4164],"class_list":["post-1158217","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-chargement","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-detectes","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-laide","tag-lateral","tag-logiciel-malveillant-rancongiciel","tag-malveillants","tag-mises-a-jour-sur-la-cybersecurite","tag-nouveaux","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-packages","tag-pypi","tag-secretes","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-tactiques","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1158217","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1158217"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1158217\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1158218"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1158217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1158217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1158217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}