{"id":508609,"date":"2022-12-13T07:03:24","date_gmt":"2022-12-13T09:03:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-souches-de-logiciels-malveillants-ciblant-les-developpeurs-python-et-javascript-via-des-referentiels-officiels\/"},"modified":"2022-12-13T07:03:26","modified_gmt":"2022-12-13T09:03:26","slug":"des-souches-de-logiciels-malveillants-ciblant-les-developpeurs-python-et-javascript-via-des-referentiels-officiels","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-souches-de-logiciels-malveillants-ciblant-les-developpeurs-python-et-javascript-via-des-referentiels-officiels\/","title":{"rendered":"Des souches de logiciels malveillants ciblant les d\u00e9veloppeurs Python et JavaScript via des r\u00e9f\u00e9rentiels officiels"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Une campagne active de logiciels malveillants cible le Python Package Index (PyPI) et les r\u00e9f\u00e9rentiels npm pour Python et JavaScript avec des modules typosquatt\u00e9s et faux qui d\u00e9ploient une souche de ransomware, marquant le dernier probl\u00e8me de s\u00e9curit\u00e9 affectant les cha\u00eenes d&#8217;approvisionnement logicielles.<\/p>\n<p>Les packages Python typosquatt\u00e9s imitent tous le populaire <a rel=\"nofollow noopener\" href=\"https:\/\/pypi.org\/project\/requests\/\" target=\"_blank\">biblioth\u00e8que de requ\u00eates<\/a>: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr, and tequests.<\/p>\n<p>Selon <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-detects-active-typosquatting-campaign-in-pypi\" target=\"_blank\">Phylum<\/a>les packages malveillants int\u00e8grent un code source qui r\u00e9cup\u00e8re le binaire du ransomware bas\u00e9 sur Golang \u00e0 partir d&#8217;un serveur distant en fonction du syst\u00e8me d&#8217;exploitation et de la microarchitecture de la victime.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Une ex\u00e9cution r\u00e9ussie entra\u00eene le changement de l&#8217;arri\u00e8re-plan du bureau de la victime en une image contr\u00f4l\u00e9e par l&#8217;acteur qui se r\u00e9clame de la Central Intelligence Agency (CIA) des \u00c9tats-Unis.  Il est \u00e9galement con\u00e7u pour crypter les fichiers et exiger une ran\u00e7on de 100 $ en crypto-monnaie.<\/p>\n<p>Signe que l&#8217;attaque ne se limite pas \u00e0 PyPI, l&#8217;adversaire a \u00e9t\u00e9 rep\u00e9r\u00e9 en train de publier cinq modules diff\u00e9rents dans npm : discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd et telnservrr. <\/p>\n<p>&#8220;L&#8217;attaquant a \u00e9galement publi\u00e9 plusieurs packages npm qui se comportent de mani\u00e8re similaire&#8221;, a d\u00e9clar\u00e9 le CTO de Phylum, Louis Lang, ajoutant que chacune des biblioth\u00e8ques contient l&#8217;\u00e9quivalent JavaScript du m\u00eame code pour d\u00e9ployer le ransomware.<\/p>\n<p>Les r\u00e9sultats viennent comme ReversingLabs <a rel=\"nofollow noopener\" href=\"https:\/\/blog.reversinglabs.com\/blog\/w4sp-continues-to-nest-in-pypi-same-supply-chain-attack-different-distribution-method\" target=\"_blank\">d\u00e9couvert<\/a> une tranche de 10 packages PyPI suppl\u00e9mentaires poussant des versions modifi\u00e9es du malware W4SP Stealer dans le cadre d&#8217;une attaque de la cha\u00eene d&#8217;approvisionnement en cours visant les d\u00e9veloppeurs de logiciels qui aurait commenc\u00e9 vers le 25 septembre 2022.<\/p>\n<p>Ce n&#8217;est pas tout.  Plus t\u00f4t ce mois-ci, la soci\u00e9t\u00e9 isra\u00e9lienne de s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement en logiciels Legit Security a d\u00e9montr\u00e9 une nouvelle technique d&#8217;attaque contre un r\u00e9f\u00e9rentiel Rust (&#8220;rust-lang&#8221;) qui abuse des actions GitHub pour empoisonner des artefacts l\u00e9gitimes.<\/p>\n<p>Les artefacts de g\u00e9n\u00e9ration sont les fichiers cr\u00e9\u00e9s par le processus de g\u00e9n\u00e9ration, tels que les packages de distribution, les fichiers WAR, les journaux et les rapports.  En rempla\u00e7ant les modules r\u00e9els par des versions cheval de Troie, un acteur pourrait voler des informations sensibles ou fournir des charges utiles suppl\u00e9mentaires \u00e0 tous ses utilisateurs en aval.<\/p>\n<p>&#8220;La vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 trouv\u00e9e dans un flux de travail appel\u00e9&#8221; ci.yml &#8220;qui est responsable de la construction et du test du code du r\u00e9f\u00e9rentiel&#8221;, a d\u00e9clar\u00e9 Noam Dotan, chercheur \u00e0 Legit Security. <a rel=\"nofollow noopener\" href=\"https:\/\/www.legitsecurity.com\/blog\/artifact-poisoning-vulnerability-discovered-in-rust\" target=\"_blank\">a dit<\/a> dans une r\u00e9daction technique.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/12\/1670922204_737_Des-souches-de-logiciels-malveillants-ciblant-les-developpeurs-Python-et.png\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/div>\n<p>En exploitant cette faiblesse, un attaquant pourrait inciter le flux de travail GitHub \u00e0 ex\u00e9cuter un artefact contenant des logiciels malveillants, permettant ainsi de falsifier les branches du r\u00e9f\u00e9rentiel, les demandes d&#8217;extraction, les probl\u00e8mes et les versions.<\/p>\n<p>Les mainteneurs du langage de programmation Rust <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/rust-lang\/rustc_codegen_gcc\/commit\/d9edc8e8691d3b65665a9fb12d4dcd1a3fe4cab6\" target=\"_blank\">adress\u00e9<\/a> l&#8217;\u00e9mission le 26 septembre 2022, suite \u00e0 la divulgation responsable du 15 septembre 2022.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/malware-strains-targeting-python-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 d\u00e9cembre 2022\ue804Ravie Lakshmanan Une campagne active de logiciels malveillants cible le Python Package Index (PyPI) et les r\u00e9f\u00e9rentiels npm pour Python et JavaScript avec des modules typosquatt\u00e9s et faux qui d\u00e9ploient une souche de ransomware, marquant le dernier probl\u00e8me de s\u00e9curit\u00e9 affectant les cha\u00eenes d&#8217;approvisionnement logicielles. Les packages Python typosquatt\u00e9s imitent tous le populaire [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":508610,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,133,11530,7305,4157,4159,4171,4170,65,4167,4589,4590,4160,4163,4162,24303,39385,58986,4172,4169,34864,4166,4164],"class_list":["post-508609","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-developpeurs","tag-javascript","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-officiels","tag-python","tag-referentiels","tag-securite-informatique","tag-securite-internet","tag-souches","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/508609","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=508609"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/508609\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/508610"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=508609"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=508609"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=508609"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}