{"id":1262633,"date":"2024-08-01T12:26:19","date_gmt":"2024-08-01T14:26:19","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-distribuent-des-packages-python-malveillants-via-une-plate-forme-de-questions-reponses-populaire-destinee-aux-developpeurs\/"},"modified":"2024-08-01T12:26:24","modified_gmt":"2024-08-01T14:26:24","slug":"des-pirates-informatiques-distribuent-des-packages-python-malveillants-via-une-plate-forme-de-questions-reponses-populaire-destinee-aux-developpeurs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-distribuent-des-packages-python-malveillants-via-une-plate-forme-de-questions-reponses-populaire-destinee-aux-developpeurs\/","title":{"rendered":"Des pirates informatiques distribuent des packages Python malveillants via une plate-forme de questions-r\u00e9ponses populaire destin\u00e9e aux d\u00e9veloppeurs"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Dans un autre signe que les acteurs malveillants sont toujours \u00e0 la recherche de nouvelles fa\u00e7ons d’inciter les utilisateurs \u00e0 t\u00e9l\u00e9charger des logiciels malveillants, il est apparu que la plateforme de questions-r\u00e9ponses (Q&A) connue sous le nom de Stack Exchange a \u00e9t\u00e9 utilis\u00e9e de mani\u00e8re abusive pour diriger des d\u00e9veloppeurs sans m\u00e9fiance vers de faux packages Python capables de vider leurs portefeuilles de crypto-monnaie.<\/p>\n

\u00ab Une fois install\u00e9, ce code s’ex\u00e9cuterait automatiquement, d\u00e9clenchant une cha\u00eene d’\u00e9v\u00e9nements con\u00e7ue pour compromettre et contr\u00f4ler les syst\u00e8mes de la victime, tout en exfiltrant ses donn\u00e9es et en vidant ses portefeuilles de crypto-monnaies \u00bb, ont d\u00e9clar\u00e9 les chercheurs de Checkmarx Yehuda Gelb et Tzachi Zornstain dans un communiqu\u00e9. rapport<\/a> partag\u00e9 avec The Hacker News.<\/p>\n

La campagne, qui a d\u00e9but\u00e9 le 25 juin 2024, visait sp\u00e9cifiquement les utilisateurs de cryptomonnaies impliqu\u00e9s dans Raydium et Solana. La liste des packages malveillants d\u00e9couverts dans le cadre de l’activit\u00e9 est r\u00e9pertori\u00e9e ci-dessous –<\/p>\n

Les packages ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s collectivement 2\u00a0082 fois. Ils ne sont plus disponibles au t\u00e9l\u00e9chargement \u00e0 partir du r\u00e9f\u00e9rentiel Python Package Index (PyPI).<\/p>\n

\"La<\/a><\/center><\/section>\n

Le logiciel malveillant dissimul\u00e9 dans le package servait de v\u00e9ritable voleur d’informations, jetant un large filet de donn\u00e9es, notamment des mots de passe de navigateur Web, des cookies et des informations de carte de cr\u00e9dit, des portefeuilles de crypto-monnaie et des informations associ\u00e9es \u00e0 des applications de messagerie comme Telegram, Signal et Session.<\/p>\n

Il int\u00e8gre \u00e9galement des fonctionnalit\u00e9s permettant de capturer des captures d’\u00e9cran du syst\u00e8me et de rechercher des fichiers contenant des codes de r\u00e9cup\u00e9ration GitHub et des cl\u00e9s BitLocker. Les informations collect\u00e9es ont ensuite \u00e9t\u00e9 compress\u00e9es et exfiltr\u00e9es vers deux robots Telegram diff\u00e9rents g\u00e9r\u00e9s par l’acteur malveillant.<\/p>\n

Par ailleurs, un composant de porte d\u00e9rob\u00e9e pr\u00e9sent dans le logiciel malveillant a accord\u00e9 \u00e0 l’attaquant un acc\u00e8s \u00e0 distance persistant aux machines des victimes, permettant ainsi de potentiels exploits futurs et des compromissions \u00e0 long terme.<\/p>\n

La cha\u00eene d’attaque s’\u00e9tend sur plusieurs \u00e9tapes, le package \u00ab\u00a0raydium\u00a0\u00bb r\u00e9pertoriant \u00ab\u00a0spl-types\u00a0\u00bb comme d\u00e9pendance dans le but de dissimuler le comportement malveillant et de donner aux utilisateurs l’impression qu’il \u00e9tait l\u00e9gitime.<\/p>\n

Un aspect notable de la campagne est l’utilisation de Stack Exchange comme vecteur pour favoriser l’adoption en publiant des r\u00e9ponses apparemment utiles faisant r\u00e9f\u00e9rence au package en question. questions de d\u00e9veloppeur<\/a> li\u00e9 \u00e0 l’ex\u00e9cution de transactions d’\u00e9change dans Raydium \u00e0 l’aide de Python.<\/p>\n

\"Paquets<\/a><\/div>\n

\u00ab En choisissant un fil de discussion \u00e0 forte visibilit\u00e9 \u2013 recueillant des milliers de vues \u2013 l’attaquant a maximis\u00e9 sa port\u00e9e potentielle \u00bb, ont d\u00e9clar\u00e9 les chercheurs, ajoutant qu’il a agi ainsi pour \u00ab donner de la cr\u00e9dibilit\u00e9 \u00e0 ce package et assurer son adoption g\u00e9n\u00e9ralis\u00e9e \u00bb.<\/p>\n

Bien que la r\u00e9ponse n’existe plus sur Stack Exchange, The Hacker News a trouv\u00e9 des r\u00e9f\u00e9rences \u00e0 \u00ab\u00a0raydium\u00a0\u00bb dans un autre Question sans r\u00e9ponse<\/a> publi\u00e9 sur le site de questions-r\u00e9ponses dat\u00e9 du 9 juillet 2024 : \u00ab J’ai lutt\u00e9 pendant des nuits pour obtenir un swap sur le r\u00e9seau Solana fonctionnant dans Python 3.10.2 install\u00e9 Solana, Solders et Raydium mais je n’arrive pas \u00e0 le faire fonctionner \u00bb, a d\u00e9clar\u00e9 un utilisateur.<\/p>\n

Les r\u00e9f\u00e9rences \u00e0 \u00ab\u00a0raydium-sdk\u00a0\u00bb ont \u00e9galement fait surface<\/a> dans un article intitul\u00e9 \u00ab Comment acheter et vendre des jetons sur Raydium en utilisant Python : un guide Solana \u00e9tape par \u00e9tape \u00bb qui a \u00e9t\u00e9 partag\u00e9 par un utilisateur nomm\u00e9 SolanaScribe sur la plateforme de publication sociale Medium le 29 juin 2024.<\/p>\n

On ne sait pas encore exactement quand les paquets ont \u00e9t\u00e9 supprim\u00e9s de PyPI, car deux autres utilisateurs ont r\u00e9pondu au message Medium demandant de l’aide \u00e0 l’auteur pour installer “raydium-sdk” il y a \u00e0 peine six jours. Checkmarx a d\u00e9clar\u00e9 \u00e0 The Hacker News que le message n’\u00e9tait pas l’\u0153uvre de l’acteur de la menace.<\/p>\n

Ce n\u2019est pas la premi\u00e8re fois que des acteurs malveillants ont recours \u00e0 une telle m\u00e9thode de diffusion de malwares. D\u00e9but mai, Sonatype a r\u00e9v\u00e9l\u00e9 comment un package nomm\u00e9 pytoileur a \u00e9t\u00e9 promu via un autre service de questions-r\u00e9ponses appel\u00e9 Stack Overflow pour faciliter le vol de cryptomonnaie.<\/p>\n

Au contraire, cette \u00e9volution prouve que les attaquants exploitent la confiance dans ces plateformes communautaires pour diffuser des logiciels malveillants, ce qui conduit \u00e0 des attaques \u00e0 grande \u00e9chelle sur la cha\u00eene d\u2019approvisionnement.<\/p>\n

\u00ab Un seul d\u00e9veloppeur compromis peut introduire par inadvertance des vuln\u00e9rabilit\u00e9s dans l’\u00e9cosyst\u00e8me logiciel d’une entreprise enti\u00e8re, affectant potentiellement l’ensemble du r\u00e9seau de l’entreprise \u00bb, ont d\u00e9clar\u00e9 les chercheurs. \u00ab Cette attaque sert de signal d’alarme pour les particuliers et les organisations, qui doivent r\u00e9\u00e9valuer leurs strat\u00e9gies de s\u00e9curit\u00e9. \u00bb<\/p>\n

Le d\u00e9veloppement intervient alors que Fortinet FortiGuard Labs a d\u00e9taill\u00e9 un package PyPI malveillant appel\u00e9 zlibxjson qui contenait des fonctionnalit\u00e9s pour voler des informations sensibles, telles que des jetons Discord, des cookies enregistr\u00e9s dans Google Chrome, Mozilla Firefox, Brave et Opera, et des mots de passe stock\u00e9s dans les navigateurs. La biblioth\u00e8que a attir\u00e9 un total de 602 t\u00e9l\u00e9chargements<\/a> avant qu’il ne soit retir\u00e9 de PyPI.<\/p>\n

\u00ab Ces actions peuvent conduire \u00e0 un acc\u00e8s non autoris\u00e9 aux comptes utilisateurs et \u00e0 l’exfiltration de donn\u00e9es personnelles, classant clairement le logiciel comme malveillant \u00bb, a d\u00e9clar\u00e9 la chercheuse en s\u00e9curit\u00e9 Jenna Wang. dit<\/a>.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n