{"id":1163059,"date":"2024-02-23T16:36:26","date_gmt":"2024-02-23T18:36:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/package-pypi-dormant-compromis-pour-propager-le-logiciel-malveillant-nova-sentinel\/"},"modified":"2024-02-23T16:36:30","modified_gmt":"2024-02-23T18:36:30","slug":"package-pypi-dormant-compromis-pour-propager-le-logiciel-malveillant-nova-sentinel","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/package-pypi-dormant-compromis-pour-propager-le-logiciel-malveillant-nova-sentinel\/","title":{"rendered":"Package PyPI dormant compromis pour propager le logiciel malveillant Nova Sentinel"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 f\u00e9vrier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Attaque de la cha\u00eene d’approvisionnement\/logiciel malveillant<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Un package dormant disponible sur le r\u00e9f\u00e9rentiel Python Package Index (PyPI) a \u00e9t\u00e9 mis \u00e0 jour presque apr\u00e8s deux ans pour propager un malware voleur d’informations appel\u00e9 Nova Sentinel.<\/p>\n

Le paquet, nomm\u00e9 Django-log-tracker<\/strong>a \u00e9t\u00e9 publi\u00e9 pour la premi\u00e8re fois sur PyPI en avril 2022, selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement logicielle Phylum, qui d\u00e9tect\u00e9<\/a> une mise \u00e0 jour anormale de la biblioth\u00e8que le 21 f\u00e9vrier 2024.<\/p>\n

Tandis que le d\u00e9p\u00f4t GitHub li\u00e9<\/a> n’a pas \u00e9t\u00e9 mis \u00e0 jour depuis le 10 avril 2022, l’introduction d’une mise \u00e0 jour malveillante sugg\u00e8re une probable compromission du compte PyPI appartenant au d\u00e9veloppeur.<\/p>\n

Django-log-tracker a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 3 866 fois<\/a> \u00e0 ce jour, avec la version malveillante (1.0.4) t\u00e9l\u00e9charg\u00e9e 107 fois \u00e0 la date de sa publication. Le package n’est plus disponible au t\u00e9l\u00e9chargement depuis PyPI.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Dans la mise \u00e0 jour malveillante, l’attaquant a supprim\u00e9 le package de la majeure partie de son contenu d’origine, ne laissant derri\u00e8re lui qu’un fichier __init__.py et example.py”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n

Les changements, simples et explicites, impliquent de r\u00e9cup\u00e9rer un ex\u00e9cutable nomm\u00e9 “Updater_1.4.4_x64.exe” depuis un serveur distant (“45.88.180[.]54”), suivi de son lancement \u00e0 l’aide de Python Fonction os.startfile()<\/a>.<\/p>\n

\"\"<\/a><\/div>\n

Le binaire, quant \u00e0 lui, est int\u00e9gr\u00e9 \u00e0 Nova Sentinel, un malware voleur qui a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Sekoia en novembre 2023 comme \u00e9tant distribu\u00e9 sous la forme de fausses applications Electron sur de faux sites proposant des t\u00e9l\u00e9chargements de jeux vid\u00e9o.<\/p>\n

“Ce qui est int\u00e9ressant dans ce cas particulier […] est que le vecteur d’attaque semblait \u00eatre une tentative d’attaque de la cha\u00eene d’approvisionnement via un compte PyPI compromis”, a d\u00e9clar\u00e9 Phylum.<\/p>\n

“S’il s’agissait d’un package tr\u00e8s populaire, tout projet avec ce package r\u00e9pertori\u00e9 comme d\u00e9pendance sans version sp\u00e9cifi\u00e9e ou version flexible sp\u00e9cifi\u00e9e dans son fichier de d\u00e9pendance aurait extrait la derni\u00e8re version malveillante de ce package.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n