{"id":1255550,"date":"2024-07-27T04:25:16","date_gmt":"2024-07-27T06:25:16","guid":{"rendered":"https:\/\/teknomers.com\/fr\/un-package-malveillant-pypi-cible-macos-pour-voler-les-identifiants-google-cloud\/"},"modified":"2024-07-27T04:25:21","modified_gmt":"2024-07-27T06:25:21","slug":"un-package-malveillant-pypi-cible-macos-pour-voler-les-identifiants-google-cloud","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/un-package-malveillant-pypi-cible-macos-pour-voler-les-identifiants-google-cloud\/","title":{"rendered":"Un package malveillant PyPI cible macOS pour voler les identifiants Google Cloud"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cybers\u00e9curit\u00e9 \/ S\u00e9curit\u00e9 du Cloud<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Un-package-malveillant-PyPI-cible-macOS-pour-voler-les-identifiants.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un package malveillant dans le r\u00e9f\u00e9rentiel Python Package Index (PyPI) qui cible les syst\u00e8mes Apple macOS dans le but de voler les informations d&#8217;identification Google Cloud des utilisateurs \u00e0 partir d&#8217;un groupe restreint de victimes.<\/p>\n<p>Le paquet, nomm\u00e9 \u00ab lr-utils-lib \u00bb, a attir\u00e9 un total de <a rel=\"nofollow noopener\" href=\"https:\/\/www.pepy.tech\/projects\/lr-utils-lib\" target=\"_blank\">59 t\u00e9l\u00e9chargements<\/a> avant d&#8217;\u00eatre supprim\u00e9e. Elle a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e dans le registre d\u00e9but juin 2024.<\/p>\n<p>\u00ab Le logiciel malveillant utilise une liste de hachages pr\u00e9d\u00e9finis pour cibler des machines macOS sp\u00e9cifiques et tente de r\u00e9colter les donn\u00e9es d&#8217;authentification de Google Cloud \u00bb, explique Yehuda Gelb, chercheur chez Checkmarx. <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/malicious-python-package-targets-macos-developers-to-access-their-gcp-accounts\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 vendredi. \u00ab Les informations d&#8217;identification collect\u00e9es sont envoy\u00e9es \u00e0 un serveur distant. \u00bb<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721628359_866_Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Un aspect important du package est qu&#8217;il v\u00e9rifie d&#8217;abord s&#8217;il a \u00e9t\u00e9 install\u00e9 sur un syst\u00e8me macOS, puis proc\u00e8de ensuite \u00e0 la comparaison de l&#8217;identifiant unique universel (UUID) du syst\u00e8me avec une liste cod\u00e9e en dur de 64 hachages.<\/p>\n<p>Si la machine compromise fait partie de celles sp\u00e9cifi\u00e9es dans l&#8217;ensemble pr\u00e9d\u00e9fini, elle tente d&#8217;acc\u00e9der \u00e0 deux fichiers, \u00e0 savoir application_default_credentials.json et credentials.db, situ\u00e9s dans le r\u00e9pertoire ~\/.config\/gcloud, qui contiennent les donn\u00e9es d&#8217;authentification Google Cloud.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722061516_420_Un-package-malveillant-PyPI-cible-macOS-pour-voler-les-identifiants.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1722061516_420_Un-package-malveillant-PyPI-cible-macOS-pour-voler-les-identifiants.png\" alt=\"Paquet PyPI malveillant\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Paquet PyPI malveillant\"\/><\/a><\/div>\n<p>Les informations captur\u00e9es sont ensuite transmises via HTTP \u00e0 un serveur distant \u00ab europe-west2-workload-422915[.]fonctions du cloud[.]filet.&#8221;<\/p>\n<p>Checkmarx a d\u00e9clar\u00e9 avoir \u00e9galement trouv\u00e9 un faux profil sur LinkedIn avec le nom \u00ab Lucid Zenith \u00bb qui correspondait au propri\u00e9taire du package et pr\u00e9tendait faussement \u00eatre le PDG d&#8217;Apex Companies, sugg\u00e9rant un possible \u00e9l\u00e9ment d&#8217;ing\u00e9nierie sociale dans l&#8217;attaque.<\/p>\n<p>On ne sait pas exactement qui se cache derri\u00e8re cette campagne. Elle survient cependant plus de deux mois apr\u00e8s que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Phylum a r\u00e9v\u00e9l\u00e9 les d\u00e9tails d&#8217;une autre attaque de la cha\u00eene d&#8217;approvisionnement impliquant un package Python appel\u00e9 \u00ab requests-darwin-lite \u00bb qui s&#8217;est \u00e9galement r\u00e9v\u00e9l\u00e9 capable de d\u00e9clencher ses actions malveillantes apr\u00e8s v\u00e9rification de l&#8217;UUID de l&#8217;h\u00f4te macOS.<\/p>\n<p>Ces campagnes sont le signe que les acteurs malveillants ont une connaissance pr\u00e9alable des syst\u00e8mes macOS qu\u2019ils souhaitent infiltrer et qu\u2019ils mettent tout en \u0153uvre pour garantir que les packages malveillants ne soient distribu\u00e9s que sur ces machines particuli\u00e8res.<\/p>\n<p>Il \u00e9voque \u00e9galement les tactiques employ\u00e9es par les acteurs malveillants pour distribuer des packages similaires, dans le but de tromper les d\u00e9veloppeurs afin qu&#8217;ils les incorporent dans leurs applications.<\/p>\n<p>\u00ab Bien qu&#8217;il ne soit pas certain que cette attaque ait vis\u00e9 des particuliers ou des entreprises, ce type d&#8217;attaque peut avoir un impact consid\u00e9rable sur les entreprises \u00bb, a d\u00e9clar\u00e9 Gelb. \u00ab Bien que la compromission initiale se produise g\u00e9n\u00e9ralement sur la machine d&#8217;un d\u00e9veloppeur individuel, les cons\u00e9quences pour les entreprises peuvent \u00eatre consid\u00e9rables. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/malicious-pypi-package-targets-macos-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 juillet 2024\ue804R\u00e9dactionCybers\u00e9curit\u00e9 \/ S\u00e9curit\u00e9 du Cloud Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un package malveillant dans le r\u00e9f\u00e9rentiel Python Package Index (PyPI) qui cible les syst\u00e8mes Apple macOS dans le but de voler les informations d&#8217;identification Google Cloud des utilisateurs \u00e0 partir d&#8217;un groupe restreint de victimes. Le paquet, nomm\u00e9 \u00ab lr-utils-lib \u00bb, a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1255551,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,7087,22780,4168,4165,7755,70876,65,238584,200271,34503,7733,238334,98340,7878,185,69497,238617,4172,4169,4166,8394,238583],"class_list":["post-1255550","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-cible","tag-cloud","tag-comment-pirater","tag-cyber-attaques","tag-google","tag-identifiants","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-macos","tag-malveillant","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-package","tag-pour","tag-pypi","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-voler","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1255550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1255550"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1255550\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1255551"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1255550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1255550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1255550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}