{"id":550597,"date":"2023-01-09T20:10:35","date_gmt":"2023-01-09T22:10:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/paquets-pypi-malveillants-utilisant-des-tunnels-cloudflare-pour-se-faufiler-a-travers-les-pare-feu\/"},"modified":"2023-01-09T20:10:36","modified_gmt":"2023-01-09T22:10:36","slug":"paquets-pypi-malveillants-utilisant-des-tunnels-cloudflare-pour-se-faufiler-a-travers-les-pare-feu","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/paquets-pypi-malveillants-utilisant-des-tunnels-cloudflare-pour-se-faufiler-a-travers-les-pare-feu\/","title":{"rendered":"Paquets PyPI malveillants utilisant des tunnels Cloudflare pour se faufiler \u00e0 travers les pare-feu"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du r\u00e9seau \/ cha\u00eene d&#8217;approvisionnement<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Dans une autre campagne ciblant le r\u00e9f\u00e9rentiel Python Package Index (PyPI), six packages malveillants ont \u00e9t\u00e9 d\u00e9couverts d\u00e9ployant des voleurs d&#8217;informations sur les syst\u00e8mes des d\u00e9veloppeurs.<\/p>\n<p>Les packages d\u00e9sormais supprim\u00e9s, qui \u00e9taient <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/a-deep-dive-into-powerat-a-newly-discovered-stealer\/rat-combo-polluting-pypi\" target=\"_blank\">d\u00e9couvert<\/a> par Phylum entre le 22 d\u00e9cembre et le 31 d\u00e9cembre 2022, incluent pyrologin, easytimestamp, discorder, discord-dev, style.py et pythonstyles.<\/p>\n<p>Le code malveillant, comme c&#8217;est de plus en plus le cas, est dissimul\u00e9 dans le script d&#8217;installation (setup.py) de ces biblioth\u00e8ques, ce qui signifie qu&#8217;il suffit d&#8217;ex\u00e9cuter une commande &#8220;pip install&#8221; pour activer le processus de d\u00e9ploiement du logiciel malveillant.<\/p>\n<p>Le logiciel malveillant est con\u00e7u pour lancer un script PowerShell qui r\u00e9cup\u00e8re un fichier d&#8217;archive ZIP, installe des d\u00e9pendances invasives telles que pynput, pydirectinput et pyscreenshot, et ex\u00e9cute un script Visual Basic extrait de l&#8217;archive pour ex\u00e9cuter davantage de code PowerShell.<\/p>\n<p>&#8220;Ces biblioth\u00e8ques permettent de contr\u00f4ler et de surveiller les entr\u00e9es de la souris et du clavier et de capturer le contenu de l&#8217;\u00e9cran&#8221;, a d\u00e9clar\u00e9 Phylum dans un rapport technique publi\u00e9 la semaine derni\u00e8re.<\/p>\n<p>Les packages malveillants sont \u00e9galement capables de collecter des cookies, des mots de passe enregistr\u00e9s et des donn\u00e9es de portefeuille de crypto-monnaie \u00e0 partir des navigateurs Google Chrome, Mozilla Firefox, Microsoft Edge, Brave, Opera, Opera GX et Vivaldi.<\/p>\n<p>Mais dans ce qui est une nouvelle technique adopt\u00e9e par l&#8217;acteur de la menace, l&#8217;attaque tente en outre de t\u00e9l\u00e9charger et d&#8217;installer <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/cloudflare\/cloudflared\" target=\"_blank\">nuageux<\/a>un outil en ligne de commande pour <a rel=\"nofollow noopener\" href=\"https:\/\/developers.cloudflare.com\/cloudflare-one\/connections\/connect-apps\" target=\"_blank\">Tunnel Cloudflare<\/a>qui offre un &#8220;moyen s\u00e9curis\u00e9 de connecter vos ressources \u00e0 Cloudflare sans adresse IP routable publiquement&#8221;.<\/p>\n<p>L&#8217;id\u00e9e, en un mot, est de tirer parti du tunnel pour acc\u00e9der \u00e0 distance \u00e0 la machine compromise via une application bas\u00e9e sur Flask, qui h\u00e9berge un cheval de Troie surnomm\u00e9 xrat (mais nomm\u00e9 powerRAT par Phylum).<\/p>\n<p>Le logiciel malveillant permet \u00e0 l&#8217;auteur de la menace d&#8217;ex\u00e9cuter des commandes shell, de t\u00e9l\u00e9charger des fichiers distants et de les ex\u00e9cuter sur l&#8217;h\u00f4te, d&#8217;exfiltrer des fichiers et des r\u00e9pertoires entiers, et m\u00eame d&#8217;ex\u00e9cuter du code python arbitraire.<\/p>\n<p>L&#8217;application Flask prend \u00e9galement en charge une fonctionnalit\u00e9 &#8220;en direct&#8221; qui utilise JavaScript pour \u00e9couter les \u00e9v\u00e9nements de clic de la souris et du clavier et capturer des captures d&#8217;\u00e9cran du syst\u00e8me afin de saisir toute information sensible saisie par la victime.<\/p>\n<p>&#8220;Cette chose est comme un RAT sous st\u00e9ro\u00efdes&#8221;, a d\u00e9clar\u00e9 Phylum.  &#8220;Il poss\u00e8de toutes les fonctionnalit\u00e9s RAT de base int\u00e9gr\u00e9es dans une interface graphique Web agr\u00e9able avec une capacit\u00e9 de bureau \u00e0 distance rudimentaire et un voleur pour d\u00e9marrer\u00a0!&#8221;<\/p>\n<p>Les r\u00e9sultats sont une autre fen\u00eatre sur la fa\u00e7on dont les attaquants font \u00e9voluer en permanence leurs tactiques pour cibler les r\u00e9f\u00e9rentiels de packages open source et organiser des attaques de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>\u00c0 la fin du mois dernier, Phylum a \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-detects-a-series-of-suspicious-publications-on-npm-again\" target=\"_blank\">divulgu\u00e9<\/a> un certain nombre de modules npm frauduleux qui ont \u00e9t\u00e9 trouv\u00e9s en train d&#8217;exfiltrer des variables d&#8217;environnement des syst\u00e8mes install\u00e9s.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/malicious-pypi-packages-using.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 janvier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 du r\u00e9seau \/ cha\u00eene d&#8217;approvisionnement Dans une autre campagne ciblant le r\u00e9f\u00e9rentiel Python Package Index (PyPI), six packages malveillants ont \u00e9t\u00e9 d\u00e9couverts d\u00e9ployant des voleurs d&#8217;informations sur les syst\u00e8mes des d\u00e9veloppeurs. Les packages d\u00e9sormais supprim\u00e9s, qui \u00e9taient d\u00e9couvert par Phylum entre le 22 d\u00e9cembre et le 31 d\u00e9cembre 2022, incluent pyrologin, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":550598,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[57348,4168,4158,4165,4161,133,101353,4157,4159,4171,4170,65,4167,4590,4160,4163,4162,1550,5467,185,69497,4172,4169,4201,48944,20349,4166,4164],"class_list":["post-550597","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-cloudflare","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-faufiler","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malveillants","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-paquets","tag-parefeu","tag-pour","tag-pypi","tag-securite-informatique","tag-securite-internet","tag-travers","tag-tunnels","tag-utilisant","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/550597","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=550597"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/550597\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/550598"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=550597"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=550597"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=550597"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}