{"id":526620,"date":"2022-12-24T11:50:23","date_gmt":"2022-12-24T13:50:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/w4sp-stealer-decouvert-dans-plusieurs-packages-pypi-sous-differents-noms\/"},"modified":"2022-12-24T11:50:25","modified_gmt":"2022-12-24T13:50:25","slug":"w4sp-stealer-decouvert-dans-plusieurs-packages-pypi-sous-differents-noms","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/w4sp-stealer-decouvert-dans-plusieurs-packages-pypi-sous-differents-noms\/","title":{"rendered":"W4SP Stealer d\u00e9couvert dans plusieurs packages PyPI sous diff\u00e9rents noms"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 d\u00e9cembre 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des logiciels \/ cha\u00eene d&#8217;approvisionnement<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les acteurs de la menace ont publi\u00e9 une nouvelle s\u00e9rie de packages malveillants dans Python Package Index (PyPI) dans le but de diffuser des logiciels malveillants voleurs d&#8217;informations sur les machines de d\u00e9veloppement compromises.<\/p>\n<p>Fait int\u00e9ressant, alors que le malware porte une vari\u00e9t\u00e9 de noms comme ANGEL Stealer, Celestial Stealer, Fade Stealer, Leaf $tealer, PURE Stealer, Satan Stealer et @skid Stealer, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Phylum a d\u00e9couvert qu&#8217;ils \u00e9taient tous des copies de W4SP Stealer.<\/p>\n<p>W4SP Stealer fonctionne principalement pour siphonner les donn\u00e9es des utilisateurs, y compris les informations d&#8217;identification, les portefeuilles de crypto-monnaie, les jetons Discord et d&#8217;autres fichiers d&#8217;int\u00e9r\u00eat.  Il est cr\u00e9\u00e9 et publi\u00e9 par un acteur qui s&#8217;appelle BillyV3, BillyTheGoat et billythegoat356.<\/p>\n<p>&#8220;Pour une raison quelconque, chaque d\u00e9ploiement semble avoir simplement essay\u00e9 de rechercher\/remplacer les r\u00e9f\u00e9rences W4SP en \u00e9change d&#8217;un autre nom apparemment arbitraire&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-discovers-new-stealer-variants-in-burgeoning-pypi-supply-chain-attack\" target=\"_blank\">m&#8217;a dit<\/a> dans un rapport publi\u00e9 plus t\u00f4t cette semaine.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEiFnQCqFUEdZwz09FePR3hG7AgLONIkxkHQShYlYG9sMAfmFEby7X_H70pQ-9LE4EGZ23DtteXmqkaRJtbEWD3LgdJDEQS_GzBo6ugwqRwVEo_kbRN9E1kruaJrfiBDjY0e2mRjaHuWU1gkUzsLRVbvt0IMXMhc3P1YIy9M0fvNOrWDRwsyC7dkMcnC1A\/s728-e365-rj\/welcome-728.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les 16 modules malveillants sont les suivants\u00a0: modulesecurity, informmodule, chazz, randomtime, proxygeneratorbil, easycordey, easycordeyy, tomproxies, sys-ej, py4sync, infosys, sysuptoer, nowsys, upamonkws, captchaboy et proxybooster.<\/p>\n<p>La campagne de distribution de W4SP Stealer a gagn\u00e9 du terrain vers octobre 2022, bien qu&#8217;il semble qu&#8217;elle ait commenc\u00e9 d\u00e8s le 25 ao\u00fbt 2022. Depuis lors, des dizaines de faux paquets suppl\u00e9mentaires contenant <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/w4sp-stealer-update-theyre-still-at-it\" target=\"_blank\">Voleur W4SP<\/a> ont \u00e9t\u00e9 publi\u00e9s sur PyPI par les acteurs de la menace persistante.<\/p>\n<p>La derni\u00e8re it\u00e9ration de l&#8217;activit\u00e9, pour ce qu&#8217;elle vaut, ne rend pas \u00e9vident de cacher ses intentions n\u00e9fastes, sauf dans le cas de chazz, qui exploite le package pour t\u00e9l\u00e9charger le logiciel malveillant Leaf $tealer obscurci h\u00e9berg\u00e9 sur le klgrth[.]service de collage io.<\/p>\n<p>Il convient de noter que les versions pr\u00e9c\u00e9dentes des cha\u00eenes d&#8217;attaque ont \u00e9galement \u00e9t\u00e9 rep\u00e9r\u00e9es en train de r\u00e9cup\u00e9rer le code Python de la prochaine \u00e9tape directement \u00e0 partir d&#8217;un r\u00e9f\u00e9rentiel GitHub public qui supprime ensuite le voleur d&#8217;informations d&#8217;identification.<\/p>\n<p>La mont\u00e9e en puissance de nouvelles variantes de copie concorde avec le retrait par GitHub du r\u00e9f\u00e9rentiel qui contenait le code source original de W4SP Stealer, indiquant que les cybercriminels probablement non affili\u00e9s \u00e0 l&#8217;op\u00e9ration militarisent \u00e9galement le malware pour attaquer les utilisateurs de PyPI.<\/p>\n<p>&#8220;Les \u00e9cosyst\u00e8mes open source tels que PyPI, NPM, etc. sont d&#8217;\u00e9normes cibles faciles pour ces types d&#8217;acteurs sur lesquels essayer de d\u00e9ployer ce type de malware&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  Leurs tentatives deviendront seulement plus fr\u00e9quentes, plus persistantes et plus sophistiqu\u00e9es.&#8221;<\/p>\n<p>L&#8217;entreprise de s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement en logiciels, qui <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/into-the-w4sps-nest-pypi-malware\" target=\"_blank\">onglets gard\u00e9s<\/a> sur la cha\u00eene Discord de l&#8217;acteur mena\u00e7ant, a en outre not\u00e9 qu&#8217;un paquet pr\u00e9c\u00e9demment signal\u00e9 sous le nom de <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/billythegoat356\/pystyle\" target=\"_blank\">pystyle<\/a> a \u00e9t\u00e9 trojanis\u00e9 par BillyTheGoat pour distribuer le voleur.<\/p>\n<p>Le module a non seulement accumul\u00e9 par <a rel=\"nofollow noopener\" href=\"https:\/\/pypistats.org\/packages\/pystyle\" target=\"_blank\">des milliers de t\u00e9l\u00e9chargements<\/a> chaque mois, mais a \u00e9galement commenc\u00e9 comme un utilitaire inoffensif en septembre 2021 pour aider les utilisateurs \u00e0 styliser la sortie de la console.  Les modifications malveillantes ont \u00e9t\u00e9 introduites dans les versions 2.1 et 2.2 publi\u00e9es le 28 octobre 2022.<\/p>\n<p>Ces deux versions, qui \u00e9taient en direct sur PyPI pendant environ une heure avant d&#8217;\u00eatre retir\u00e9es, auraient obtenu 400 t\u00e9l\u00e9chargements, a d\u00e9clar\u00e9 BillyTheGoat \u00e0 Phylum dans une &#8220;correspondance non sollicit\u00e9e&#8221;.<\/p>\n<p>&#8220;Ce n&#8217;est pas parce qu&#8217;un paquet est b\u00e9nin aujourd&#8217;hui et qu&#8217;il a montr\u00e9 une histoire d&#8217;\u00eatre b\u00e9nin pendant des ann\u00e9es qu&#8217;il le restera&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/into-the-w4sps-nest-pypi-malware\" target=\"_blank\">mis en garde<\/a>.  &#8220;Les acteurs de la menace ont fait preuve d&#8217;une patience incroyable dans la cr\u00e9ation de packages l\u00e9gitimes, pour les empoisonner avec des logiciels malveillants une fois qu&#8217;ils sont devenus suffisamment populaires.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/w4sp-stealer-discovered-in-multiple.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 d\u00e9cembre 2022\ue804Ravie LakshmananS\u00e9curit\u00e9 des logiciels \/ cha\u00eene d&#8217;approvisionnement Les acteurs de la menace ont publi\u00e9 une nouvelle s\u00e9rie de packages malveillants dans Python Package Index (PyPI) dans le but de diffuser des logiciels malveillants voleurs d&#8217;informations sur les machines de d\u00e9veloppement compromises. Fait int\u00e9ressant, alors que le malware porte une vari\u00e9t\u00e9 de noms comme [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":526621,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,429,5671,15501,4157,4159,4171,4170,4167,4160,1223,4163,4162,7309,701,69497,4172,4169,367,39577,4166,4164,122142],"class_list":["post-526620","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-decouvert","tag-differents","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-noms","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-packages","tag-plusieurs","tag-pypi","tag-securite-informatique","tag-securite-internet","tag-sous","tag-stealer","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-w4sp"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/526620","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=526620"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/526620\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/526621"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=526620"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=526620"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=526620"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}