{"id":468948,"date":"2022-11-18T04:25:32","date_gmt":"2022-11-18T06:25:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/w4sp-stealer-cible-constamment-les-developpeurs-python-dans-une-attaque-continue-de-la-chaine-dapprovisionnement\/"},"modified":"2022-11-18T04:25:34","modified_gmt":"2022-11-18T06:25:34","slug":"w4sp-stealer-cible-constamment-les-developpeurs-python-dans-une-attaque-continue-de-la-chaine-dapprovisionnement","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/w4sp-stealer-cible-constamment-les-developpeurs-python-dans-une-attaque-continue-de-la-chaine-dapprovisionnement\/","title":{"rendered":"W4SP Stealer cible constamment les d\u00e9veloppeurs Python dans une attaque continue de la cha\u00eene d&#8217;approvisionnement"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une attaque en cours de la cha\u00eene d&#8217;approvisionnement a exploit\u00e9 des packages Python malveillants pour distribuer un logiciel malveillant appel\u00e9 W4SP Stealer, avec plus de centaines de victimes prises au pi\u00e8ge \u00e0 ce jour.<\/p>\n<p>&#8220;L&#8217;acteur de la menace est toujours actif et publie davantage de packages malveillants&#8221;, a d\u00e9clar\u00e9 le chercheur de Checkmarx, Jossef Harush. <a rel=\"nofollow noopener\" href=\"https:\/\/medium.com\/checkmarx-security\/wasp-attack-on-python-polymorphic-malware-shipping-wasp-stealer-infecting-hundreds-of-victims-10e92439d192\" target=\"_blank\">a dit<\/a> dans un \u00e9crit technique, appelant l&#8217;adversaire <strong>GU\u00caPE<\/strong>.  &#8220;L&#8217;attaque semble li\u00e9e \u00e0 la cybercriminalit\u00e9 car l&#8217;attaquant affirme que ces outils sont ind\u00e9tectables pour augmenter les ventes.&#8221;<\/p>\n<p>Les conclusions de Checkmarx s&#8217;appuient sur des rapports r\u00e9cents de Phylum et Check Point, qui ont signal\u00e9 30 modules diff\u00e9rents publi\u00e9s sur le Python Package Index (PyPI) qui ont \u00e9t\u00e9 con\u00e7us pour propager du code malveillant sous le couvert de packages d&#8217;apparence b\u00e9nigne.<\/p>\n<p>L&#8217;attaque n&#8217;est que la derni\u00e8re menace \u00e0 cibler la cha\u00eene d&#8217;approvisionnement des logiciels.  Ce qui le rend remarquable est l&#8217;utilisation de la st\u00e9ganographie pour extraire un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Polymorphic_code\" target=\"_blank\">malware polymorphe<\/a> charge utile cach\u00e9e dans un fichier image h\u00e9berg\u00e9 sur Imgur.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/1668752732_391_W4SP-Stealer-cible-constamment-les-developpeurs-Python-dans-une-attaque.png\"\/><\/div>\n<p>L&#8217;installation du package fait finalement place \u00e0 W4SP Stealer (alias WASP Stealer), un voleur d&#8217;informations con\u00e7u pour exfiltrer les comptes Discord, les mots de passe, les portefeuilles cryptographiques et d&#8217;autres fichiers d&#8217;int\u00e9r\u00eat pour un <a rel=\"nofollow noopener\" href=\"https:\/\/discord.com\/developers\/docs\/resources\/webhook\" target=\"_blank\">Discord Webhook<\/a>.<\/p>\n<p>L&#8217;analyse de Checkmarx a en outre retrouv\u00e9 le serveur Discord de l&#8217;attaquant, qui est g\u00e9r\u00e9 par un seul utilisateur nomm\u00e9 &#8220;Alpha. # 0001&#8221;, et les divers faux profils cr\u00e9\u00e9s sur GitHub pour inciter les d\u00e9veloppeurs involontaires \u00e0 t\u00e9l\u00e9charger le malware.<\/p>\n<p><iframe loading=\"lazy\" title=\"Malicious Python Imports | Down The Rabbit Hole (Part 1)\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/cW2PHJOuplI?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>De plus, l&#8217;op\u00e9rateur Alpha. # 0001 a \u00e9t\u00e9 observ\u00e9 faisant la publicit\u00e9 du &#8220;totalement ind\u00e9tectable&#8221; pour 20 $ sur la cha\u00eene Discord, sans parler de la publication d&#8217;un flux constant de nouveaux packages sous diff\u00e9rents noms d\u00e8s qu&#8217;ils sont retir\u00e9s de PyPI.<\/p>\n<p>Pas plus tard que le 15 novembre, l&#8217;auteur de la menace a \u00e9t\u00e9 vu en train d&#8217;adopter un nouveau nom d&#8217;utilisateur sur PyPI (&#8220;halt&#8221;) pour t\u00e9l\u00e9charger des biblioth\u00e8ques de typosquattage qui exploitaient <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/starjacking-making-your-new-open-source-package-popular-in-a-snap\/\" target=\"_blank\">Starjacking<\/a> \u2013 une technique dans laquelle un package est publi\u00e9 avec une URL pointant vers un r\u00e9f\u00e9rentiel de code source d\u00e9j\u00e0 populaire.<\/p>\n<p>&#8220;Le niveau de manipulation utilis\u00e9 par les attaquants de la cha\u00eene d&#8217;approvisionnement logicielle augmente \u00e0 mesure que les attaquants deviennent de plus en plus intelligents&#8221;, a not\u00e9 Harush.  &#8220;C&#8217;est la premi\u00e8re fois [I&#8217;ve] vu des logiciels malveillants polymorphes utilis\u00e9s dans des attaques de la cha\u00eene d&#8217;approvisionnement de logiciels.&#8221;<\/p>\n<p>&#8220;La technique simple et mortelle consistant \u00e0 tromper en cr\u00e9ant de faux comptes GitHub et en partageant des extraits empoisonn\u00e9s s&#8217;est av\u00e9r\u00e9e tromper des centaines d&#8217;utilisateurs dans cette campagne.&#8221;<\/p>\n<p>Le d\u00e9veloppement intervient \u00e9galement alors que les agences am\u00e9ricaines de cybers\u00e9curit\u00e9 et de renseignement ont publi\u00e9 de nouvelles directives d\u00e9crivant les pratiques recommand\u00e9es que les clients peuvent adopter pour s\u00e9curiser la cha\u00eene d&#8217;approvisionnement des logiciels.<\/p>\n<p>&#8220;Les \u00e9quipes client sp\u00e9cifient et s&#8217;appuient sur les fournisseurs pour fournir des artefacts cl\u00e9s (par exemple, SBOM) et des m\u00e9canismes permettant de v\u00e9rifier le produit logiciel, ses propri\u00e9t\u00e9s de s\u00e9curit\u00e9 et d&#8217;attester les processus et proc\u00e9dures de s\u00e9curit\u00e9 SDLC&#8221;, indique le guide. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/current-activity\/2022\/11\/17\/cisa-nsa-and-odni-release-guidance-customers-securing-software\" target=\"_blank\">lit<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/w4sp-stealer-constantly-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une attaque en cours de la cha\u00eene d&#8217;approvisionnement a exploit\u00e9 des packages Python malveillants pour distribuer un logiciel malveillant appel\u00e9 W4SP Stealer, avec plus de centaines de victimes prises au pi\u00e8ge \u00e0 ce jour. &#8220;L&#8217;acteur de la menace est toujours actif et publie davantage de packages malveillants&#8221;, a d\u00e9clar\u00e9 le chercheur de Checkmarx, Jossef Harush. [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":468950,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1933,2953,7087,4168,8695,708,4158,4165,4161,429,3242,11530,4157,4159,4171,4170,65,4167,4160,4163,4162,39385,4172,4169,39577,196,4166,4164,122142],"class_list":["post-468948","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaque","tag-chaine","tag-cible","tag-comment-pirater","tag-constamment","tag-continue","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dapprovisionnement","tag-developpeurs","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-python","tag-securite-informatique","tag-securite-internet","tag-stealer","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-w4sp"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/468948","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=468948"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/468948\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/468950"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=468948"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=468948"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=468948"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}