Mercredi, le Python Package Index, PyPI, a tir\u00e9 la sonnette d’alarme concernant une campagne de phishing en cours qui vise \u00e0 voler les informations d’identification des d\u00e9veloppeurs et \u00e0 injecter des mises \u00e0 jour malveillantes dans des packages l\u00e9gitimes.<\/p>\n
“Il s’agit de la premi\u00e8re attaque de phishing connue contre PyPI”, d\u00e9clarent les responsables du r\u00e9f\u00e9rentiel de logiciels tiers officiel. a dit<\/a> dans une s\u00e9rie de tweets.<\/p>\n L’attaque d’ing\u00e9nierie sociale consiste \u00e0 envoyer des messages sur le th\u00e8me de la s\u00e9curit\u00e9 qui cr\u00e9ent un faux sentiment d’urgence en informant les destinataires que Google met en place un processus de validation obligatoire sur tous les packages et qu’ils doivent cliquer sur un lien pour terminer la validation avant septembre, ou risquer d’obtenir leurs modules PyPI supprim\u00e9s.<\/p>\n Si un d\u00e9veloppeur sans m\u00e9fiance tombe dans le pi\u00e8ge, les utilisateurs sont dirig\u00e9s vers une page de destination similaire qui imite la page de connexion de PyPI et est h\u00e9berg\u00e9e sur Google Sites, \u00e0 partir de laquelle les informations d’identification saisies sont captur\u00e9es et utilis\u00e9es de mani\u00e8re abusive pour acc\u00e9der sans autorisation aux comptes et compromettre les packages pour inclure des logiciels malveillants. .<\/p>\n Les modifications, quant \u00e0 elles, visent \u00e0 t\u00e9l\u00e9charger un fichier depuis un serveur distant. “Cette malware<\/a> est inhabituellement grand, ~ 63 Mo, (peut-\u00eatre dans le but d’\u00e9chapper [antivirus] d\u00e9tection) et poss\u00e8de une signature valide (sign\u00e9e le 23 ao\u00fbt 2022)”, Aviad Gershon, chercheur chez Checkmarx c’est not\u00e9<\/a>.<\/p>\n “Ces versions ont \u00e9t\u00e9 supprim\u00e9es de PyPI et les comptes des responsables ont \u00e9t\u00e9 temporairement gel\u00e9s”, a d\u00e9clar\u00e9 PyPI. Jusqu’\u00e0 pr\u00e9sent, deux des packages concern\u00e9s incluent “exotel” et “spam”. De plus, plusieurs centaines de typosquats auraient \u00e9t\u00e9 supprim\u00e9s.<\/p>\n PyPI a \u00e9galement d\u00e9clar\u00e9 qu’il surveillait activement les rapports de nouveaux packages malveillants et s’assurait de leur suppression. Les d\u00e9veloppeurs qui pensent avoir \u00e9t\u00e9 compromis doivent r\u00e9initialiser leurs mots de passe avec effet imm\u00e9diat, r\u00e9initialiser les codes de r\u00e9cup\u00e9ration 2FA et consulter les journaux de compte PyPI pour d\u00e9tecter toute activit\u00e9 anormale.<\/p>\n L’attaque de phishing est un autre signe de la fa\u00e7on dont l’\u00e9cosyst\u00e8me open source est de plus en plus menac\u00e9 par les acteurs de la menace, qui capitalisent sur des biblioth\u00e8ques et des projets qui sont tiss\u00e9s dans le tissu de plusieurs applications pour monter des attaques de cha\u00eene d’approvisionnement qui peuvent avoir des effets en cascade.<\/p>\n Plus t\u00f4t ce mois-ci, des chercheurs de Checkmarx divulgu\u00e9<\/a> deux packages Python malveillants – typing-unions et aiogram-types – qui se sont fait passer pour des packages populaires typing et aiogram pour inciter les d\u00e9veloppeurs \u00e0 les t\u00e9l\u00e9charger et \u00e0 infecter leurs machines avec Cobalt Strike.<\/p>\n Une autre attaque \u00e0 grande \u00e9chelle a impliqu\u00e9 un acteur malveillant publiant un douzaine de paquets typosquatt\u00e9s<\/a> sous les noms de projets populaires avec de l\u00e9g\u00e8res permutations pour installer un malware persistant en plusieurs \u00e9tapes sur des syst\u00e8mes compromis.<\/p>\n Le d\u00e9veloppement est \u00e9galement arriv\u00e9 plus de deux mois apr\u00e8s que le registre a commenc\u00e9 \u00e0 imposer une exigence obligatoire d’authentification \u00e0 deux facteurs (2FA) pour les projets jug\u00e9s “critiques”.<\/p>\n <\/p>\n<\/div>\n![\"Attaque](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661405184_97_Le-referentiel-PyPI-avertit-les-responsables-du-projet-Python-des.jpg\" "\\"Attaque")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-decouvre-un-outil-utilise-par-les-pirates-iraniens-pour.png\")
<\/a><\/div>\n![\"Attaque](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661405185_472_Le-referentiel-PyPI-avertit-les-responsables-du-projet-Python-des.jpg\" "\\"Attaque")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\")
<\/a><\/div>\n