{"id":1172681,"date":"2024-02-29T21:04:24","date_gmt":"2024-02-29T23:04:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/lazarus-exploite-des-fautes-de-frappe-pour-introduire-des-logiciels-malveillants-pypi-dans-les-systemes-de-developpement\/"},"modified":"2024-02-29T21:04:29","modified_gmt":"2024-02-29T23:04:29","slug":"lazarus-exploite-des-fautes-de-frappe-pour-introduire-des-logiciels-malveillants-pypi-dans-les-systemes-de-developpement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/lazarus-exploite-des-fautes-de-frappe-pour-introduire-des-logiciels-malveillants-pypi-dans-les-systemes-de-developpement\/","title":{"rendered":"Lazarus exploite des fautes de frappe pour introduire des logiciels malveillants PyPI dans les syst\u00e8mes de d\u00e9veloppement"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>29 f\u00e9vrier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Logiciels malveillants\/s\u00e9curit\u00e9 des points de terminaison<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Le c\u00e9l\u00e8bre groupe de piratage informatique Lazarus, soutenu par l’\u00c9tat nord-cor\u00e9en, a t\u00e9l\u00e9charg\u00e9 quatre packages dans le r\u00e9f\u00e9rentiel Python Package Index (PyPI) dans le but d’infecter les syst\u00e8mes des d\u00e9veloppeurs avec des logiciels malveillants.<\/p>\n

Les paquets, d\u00e9sormais d\u00e9mont\u00e9s, sont pycryptoenv<\/a>, pycryptoconf<\/a>, quasarlib<\/a>et \u00e9changer le pool de m\u00e9moire<\/a>. Ils ont \u00e9t\u00e9 collectivement t\u00e9l\u00e9charg\u00e9s 3\u00a0269 fois, pycryptoconf repr\u00e9sentant le plus grand nombre de t\u00e9l\u00e9chargements avec 1\u00a0351.<\/p>\n

“Les noms de packages pycryptoenv et pycryptoconf sont similaires \u00e0 pycrypto, qui est un package Python utilis\u00e9 pour les algorithmes de chiffrement en Python”, a d\u00e9clar\u00e9 Shusei Tomonaga, chercheur au JPCERT\/CC. dit<\/a>. “Par cons\u00e9quent, l’attaquant a probablement pr\u00e9par\u00e9 les packages malveillants contenant des logiciels malveillants pour cibler les fautes de frappe des utilisateurs lors de l’installation des packages Python.”<\/p>\n

La divulgation intervient quelques jours apr\u00e8s que Phylum a d\u00e9couvert plusieurs packages malveillants sur le registre npm qui ont \u00e9t\u00e9 utilis\u00e9s pour identifier les d\u00e9veloppeurs de logiciels dans le cadre d’une campagne nomm\u00e9e Contagious Interview.<\/p>\n

\"La<\/a><\/center><\/div>\n

Un point commun int\u00e9ressant entre les deux types d\u2019attaques est que le code malveillant est dissimul\u00e9 dans un script de test (\u00ab test.py \u00bb). Dans ce cas, cependant, le fichier de test n’est qu’un \u00e9cran de fum\u00e9e pour ce qui est un fichier DLL cod\u00e9 XOR, qui, \u00e0 son tour, cr\u00e9e deux fichiers DLL nomm\u00e9s IconCache.db et NTUSER.DAT.<\/p>\n

La s\u00e9quence d’attaque utilise ensuite NTUSER.DAT pour charger et ex\u00e9cuter IconCache.db, un malware appel\u00e9 Comebacker charg\u00e9 d’\u00e9tablir des connexions avec un serveur de commande et de contr\u00f4le (C2) pour r\u00e9cup\u00e9rer et ex\u00e9cuter un fichier ex\u00e9cutable Windows.<\/p>\n

JPCERT\/CC a d\u00e9clar\u00e9 que les packages s’inscrivent dans la continuit\u00e9 d’une campagne que Phylum a d\u00e9taill\u00e9e pour la premi\u00e8re fois en novembre 2023 comme tirant parti des modules npm sur le th\u00e8me de la cryptographie pour livrer Comebacker.<\/p>\n

“Les attaquants peuvent cibler les fautes de frappe des utilisateurs pour t\u00e9l\u00e9charger le logiciel malveillant”, a d\u00e9clar\u00e9 Tomonaga. “Lorsque vous installez des modules et d’autres types de logiciels dans votre environnement de d\u00e9veloppement, faites-le avec pr\u00e9caution pour \u00e9viter d’installer des packages ind\u00e9sirables.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n