{"id":1612007,"date":"2025-04-05T08:58:37","date_gmt":"2025-04-05T10:58:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-packages-python-malveillants-sur-pypi-ont-telecharge-plus-de-39-000-fois-voler-des-donnees-sensibles\/"},"modified":"2025-04-05T08:58:41","modified_gmt":"2025-04-05T10:58:41","slug":"les-packages-python-malveillants-sur-pypi-ont-telecharge-plus-de-39-000-fois-voler-des-donnees-sensibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-packages-python-malveillants-sur-pypi-ont-telecharge-plus-de-39-000-fois-voler-des-donnees-sensibles\/","title":{"rendered":"Les packages Python malveillants sur PYPI ont t\u00e9l\u00e9charg\u00e9 plus de 39 000 fois, voler des donn\u00e9es sensibles"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 avril 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Attaque de logiciels malveillants \/ d&#8217;approvisionnement<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Les-packages-Python-malveillants-sur-PYPI-ont-telecharge-plus-de.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert des biblioth\u00e8ques malveillantes dans le r\u00e9f\u00e9rentiel Python Package Index (PYPI) qui sont con\u00e7ues pour voler des informations sensibles.<\/p>\n<p>Deux des packages, BitcoinlibdbFix et Bitcoinlib-Dev, se masquent comme corrects pour <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/1200wd\/bitcoinlib\/issues\/455\" target=\"_blank\">Probl\u00e8mes r\u00e9cents<\/a> d\u00e9tect\u00e9 dans un module Python l\u00e9gitime appel\u00e9 bitcoinlib, selon <a rel=\"noopener nofollow\" href=\"https:\/\/www.reversinglabs.com\/blog\/malicious-python-packages-target-popular-bitcoin-library\" target=\"_blank\">Inversion<\/a>. Un troisi\u00e8me package <a rel=\"noopener nofollow\" href=\"https:\/\/socket.dev\/blog\/malicious-pypi-package-targets-woocommerce-stores-with-automated-carding-attacks\" target=\"_blank\">d\u00e9couvert<\/a> Par Socket, Disgrasya, contenait un script de cardage enti\u00e8rement automatis\u00e9 ciblant les magasins WooCommerce.<\/p>\n<p>Les packages ont attir\u00e9 des centaines de t\u00e9l\u00e9chargements avant d&#8217;\u00eatre retir\u00e9s, selon les statistiques de Pepy.tech &#8211;<\/p>\n<p>&#8220;Les biblioth\u00e8ques malveillantes tentent toutes deux une attaque similaire, \u00e9crasant la commande l\u00e9gitime&#8221; CLW CLI &#8220;avec un code malveillant qui tente d&#8217;exfiltrer les fichiers de base de donn\u00e9es sensibles&#8221;, a d\u00e9clar\u00e9 RecournLabs.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/Pres-de-24-000-IPS-Target-Pan-OS-GlobalProtect-dans-la.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Dans une tournure int\u00e9ressante, les auteurs des biblioth\u00e8ques contrefaits auraient rejoint une discussion sur le probl\u00e8me de GitHub et ont tent\u00e9 sans succ\u00e8s de inciter les utilisateurs sans m\u00e9fiance \u00e0 t\u00e9l\u00e9charger le correctif pr\u00e9tendu et \u00e0 ex\u00e9cuter la biblioth\u00e8que.<\/p>\n<p>D&#8217;un autre c\u00f4t\u00e9, Disgrasya s&#8217;est av\u00e9r\u00e9 \u00eatre ouvertement malveillant, ne faisant aucun effort pour cacher ses fonctionnalit\u00e9s de vol de cartes et de cartes de cr\u00e9dit.<\/p>\n<p>&#8220;La charge utile malveillante a \u00e9t\u00e9 introduite dans la version 7.36.9, et toutes les versions ult\u00e9rieures ont transport\u00e9 la m\u00eame logique d&#8217;attaque int\u00e9gr\u00e9e&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe de recherche de socket.<\/p>\n<p><a rel=\"noopener nofollow\" href=\"https:\/\/www.radware.com\/cyberpedia\/bot-management\/carding\/\" target=\"_blank\">Cardage<\/a>aussi appel\u00e9 <a rel=\"noopener nofollow\" href=\"https:\/\/www.humansecurity.com\/learn\/topics\/what-is-carding\/\" target=\"_blank\">Ruplage de la carte de cr\u00e9dit<\/a>fait r\u00e9f\u00e9rence \u00e0 une forme automatis\u00e9e de fraude de paiement dans laquelle les fraudeurs testent une liste en vrac d&#8217;informations de cr\u00e9dit ou de carte de d\u00e9bit vol\u00e9es par rapport au syst\u00e8me de traitement des paiements d&#8217;un marchand pour v\u00e9rifier les d\u00e9tails de la carte viol\u00e9e ou vol\u00e9e. Il rel\u00e8ve d&#8217;une cat\u00e9gorie d&#8217;attaque plus large appel\u00e9e abus de transactions automatis\u00e9es.<\/p>\n<p>Une source typique pour les donn\u00e9es de carte de cr\u00e9dit vol\u00e9es est un forum de cardage, o\u00f9 les d\u00e9tails de la carte de cr\u00e9dit sont pil\u00e9s par les victimes \u00e0 l&#8217;aide de diverses m\u00e9thodes comme le phishing, l&#8217;\u00e9cr\u00e9mage ou les logiciels malveillants de voleur <a rel=\"noopener nofollow\" href=\"https:\/\/www.imperva.com\/learn\/application-security\/carding-online-fraud\/\" target=\"_blank\">annonc\u00e9 \u00e0 la vente \u00e0 d&#8217;autres acteurs de menace<\/a> pour poursuivre les activit\u00e9s criminelles. <\/p>\n<p>Une fois qu&#8217;ils sont actifs (c&#8217;est-\u00e0-dire non signal\u00e9s, vol\u00e9s ou d\u00e9sactiv\u00e9s), les escrocs les utilisent pour acheter des cartes-cadeaux ou des cartes pr\u00e9pay\u00e9es, qui sont ensuite revendus pour le profit. Les acteurs de la menace sont \u00e9galement connus pour tester si les cartes sont valables en tentant de petites transactions sur les sites de commerce \u00e9lectronique pour \u00e9viter d&#8217;\u00eatre signal\u00e9e pour la fraude par les propri\u00e9taires de cartes.<\/p>\n<p>Le package Rogue identifi\u00e9 par Socket est con\u00e7u pour valider les informations de carte de cr\u00e9dit vol\u00e9es, en particulier ciblant les commer\u00e7ants utilisant WooCommerce avec Cybersource comme passerelle de paiement.<\/p>\n<p>Le script y parvient en \u00e9mulant les actions d&#8217;une activit\u00e9 d&#8217;achat l\u00e9gitime, en trouvant un produit par programme, en l&#8217;ajoutant \u00e0 un panier, en naviguant vers la page de paiement WooCommerce et en remplissant le formulaire de paiement avec des d\u00e9tails de facturation randomis\u00e9s et les donn\u00e9es de carte de cr\u00e9dit vol\u00e9es.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/04\/1743491377_264_Apple-a-condamne-une-amende-a-150-millions-deuros-par.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En imitant un processus de paiement r\u00e9el, l&#8217;id\u00e9e est de tester la validit\u00e9 des cartes pill\u00e9es et d&#8217;exfiltrer les d\u00e9tails pertinents, tels que le num\u00e9ro de carte de cr\u00e9dit, la date d&#8217;expiration et le CVV, \u00e0 un serveur externe sous le contr\u00f4le de l&#8217;attaquant (&#8220;Railgunmisaka[.]com &#8220;) sans attirer l&#8217;attention des syst\u00e8mes de d\u00e9tection de fraude. <\/p>\n<p>&#8220;Bien que le nom puisse lever les sourcils aux locuteurs natifs (&#8216;Disgrasya&#8217; est un argot philippin pour` `catastrophe &#8221; ou` `accident &#8221;), il s&#8217;agit d&#8217;une caract\u00e9risation appropri\u00e9e d&#8217;un package qui ex\u00e9cute un processus en plusieurs \u00e9tapes \u00e9mulant un voyage de caisse l\u00e9gitime \u00e0 travers un magasin en ligne afin de tester les cartes de cr\u00e9dit vol\u00e9es contre de v\u00e9ritables syst\u00e8mes de paiement sans d\u00e9clenchement de la fraude&#8221;, a d\u00e9clar\u00e9 Socket.<\/p>\n<p>&#8220;En incorporant cette logique dans un package Python publi\u00e9 sur PYPI et t\u00e9l\u00e9charg\u00e9 plus de 34 000 fois, l&#8217;attaquant a cr\u00e9\u00e9 un outil modulaire qui pourrait \u00eatre facilement utilis\u00e9 dans des cadres d&#8217;automatisation plus grands, faisant de Disgrasya un utilitaire de cardage puissant d\u00e9guis\u00e9 en biblioth\u00e8que inoffensive.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/malicious-python-packages-on-pypi.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 avril 2025\ue804Ravie LakshmananAttaque de logiciels malveillants \/ d&#8217;approvisionnement Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert des biblioth\u00e8ques malveillantes dans le r\u00e9f\u00e9rentiel Python Package Index (PYPI) qui sont con\u00e7ues pour voler des informations sensibles. Deux des packages, BitcoinlibdbFix et Bitcoinlib-Dev, se masquent comme corrects pour Probl\u00e8mes r\u00e9cents d\u00e9tect\u00e9 dans un module Python l\u00e9gitime appel\u00e9 bitcoinlib, selon [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1612008,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,4168,79002,274264,4161,274263,6124,133,1343,982,65,4590,274267,4160,249,7309,69497,39385,238617,246491,4172,24241,60,39196,79016,4166,8394,4164],"class_list":["post-1612007","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-donnees","tag-fois","tag-les","tag-malveillants","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-ont","tag-packages","tag-pypi","tag-python","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-sensibles","tag-sur","tag-telecharge","tag-the-hacker-news","tag-violation-de-donnees","tag-voler","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1612007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1612007"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1612007\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1612008"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1612007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1612007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1612007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}