{"id":601442,"date":"2023-02-10T17:44:25","date_gmt":"2023-02-10T19:44:25","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-du-code-malveillant-obscurci-dans-des-packages-pypi-python\/"},"modified":"2023-02-10T17:44:27","modified_gmt":"2023-02-10T19:44:27","slug":"des-chercheurs-decouvrent-du-code-malveillant-obscurci-dans-des-packages-pypi-python","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-du-code-malveillant-obscurci-dans-des-packages-pypi-python\/","title":{"rendered":"Des chercheurs d\u00e9couvrent du code malveillant obscurci dans des packages PyPI Python"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">10 f\u00e9vrier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cha\u00eene d&#8217;approvisionnement \/ S\u00e9curit\u00e9 des logiciels<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Quatre packages malveillants diff\u00e9rents dans Python Package Index (<b>APIPy<\/b>) ont \u00e9t\u00e9 trouv\u00e9s pour effectuer un certain nombre d&#8217;actions malveillantes, y compris la suppression de logiciels malveillants, la suppression de l&#8217;utilitaire netstat et la manipulation du fichier SSH authorized_keys.<\/p>\n<p>Les colis en question sont <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/aptx\" target=\"_blank\">aptx<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/bingchilling2\" target=\"_blank\">bingchilling2<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/httops\" target=\"_blank\">httops<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/tkint3rs\" target=\"_blank\">tkint3rs<\/a>, qui ont tous \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s collectivement environ 450 fois avant d&#8217;\u00eatre supprim\u00e9s.  Alors qu&#8217;aptx est une tentative de se faire passer pour Qualcomm <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/AptX\" target=\"_blank\">codec audio tr\u00e8s populaire<\/a> du m\u00eame nom, httops et tkint3rs sont respectivement des typosquats de https et tkinter.<\/p>\n<p>&#8220;La plupart de ces paquets avaient des noms bien pens\u00e9s, pour confondre volontairement les gens&#8221;, a d\u00e9clar\u00e9 Ax Sharma, chercheur en s\u00e9curit\u00e9 et journaliste. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/malicious-aptx-python-package-drops-meterpreter-shell-deletes-netstat\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Une analyse du code malicieux inject\u00e9 dans le script d&#8217;installation r\u00e9v\u00e8le la pr\u00e9sence d&#8217;un obfuscated <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/meterpreter-advanced-powerful-metasploit-payload\/\" target=\"_blank\">Charge utile Meterpreter<\/a> c&#8217;est d\u00e9guis\u00e9 en &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/pypi.org\/project\/pip\/\" target=\"_blank\">p\u00e9pin<\/a>&#8220;, un installateur de package l\u00e9gitime pour Python, et peut \u00eatre utilis\u00e9 pour obtenir un acc\u00e8s shell \u00e0 l&#8217;h\u00f4te infect\u00e9.<\/p>\n<p>Des mesures sont \u00e9galement prises pour supprimer le <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Netstat\" target=\"_blank\">netstat<\/a> utilitaire de ligne de commande utilis\u00e9 pour surveiller la configuration et l&#8217;activit\u00e9 du r\u00e9seau, ainsi que pour modifier le <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-configure-ssh-key-based-authentication-on-a-linux-server\" target=\"_blank\">fichier .ssh\/authorized_keys<\/a> pour configurer une porte d\u00e9rob\u00e9e SSH pour l&#8217;acc\u00e8s \u00e0 distance.<\/p>\n<p>&#8220;Maintenant, c&#8217;est un exemple \u00e9l\u00e9gant mais r\u00e9el de malware nuisible qui a r\u00e9ussi \u00e0 se frayer un chemin dans l&#8217;\u00e9cosyst\u00e8me open source&#8221;, a not\u00e9 Sharma.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676058265_595_Des-chercheurs-decouvrent-du-code-malveillant-obscurci-dans-des-packages.png\" alt=\"Index des packages Python\" border=\"0\" data-original-height=\"503\" data-original-width=\"728\" title=\"Index des packages Python\"\/><\/div>\n<p>Mais dans un signe que les logiciels malveillants se faufilant dans les r\u00e9f\u00e9rentiels de logiciels sont une menace r\u00e9currente, Fortinet FortiGuard Labs a d\u00e9couvert cinq packages diff\u00e9rents &#8211; <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/web3-essential\" target=\"_blank\">web3-essentiel<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/3m-promo-gen-api\" target=\"_blank\">3m-promo-gen-api<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/ai-solver-gen\" target=\"_blank\">ai-solveur-gen<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/hypixel-coins\" target=\"_blank\">hypixel-coins<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/httpxrequesterv2\" target=\"_blank\">httpxrequesterv2<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/pepy.tech\/project\/httpxrequester\" target=\"_blank\">httpxrequester<\/a> &#8211; qui sont <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/supply-chain-attack-by-new-malicious-python-package-web3-essential\" target=\"_blank\">con\u00e7u<\/a> pour <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/supply-chain-attack-via-new-malicious-python-packages-by-malware-author-core1337\" target=\"_blank\">r\u00e9colter et exfiltrer<\/a> information sensible.<\/p>\n<p>Les r\u00e9v\u00e9lations surviennent alors que ReversingLabs met en lumi\u00e8re un module npm malveillant nomm\u00e9 aabquerys qui est con\u00e7u pour se faire passer pour le package abquery l\u00e9gitime pour inciter les d\u00e9veloppeurs \u00e0 le t\u00e9l\u00e9charger.<\/p>\n<p>Le code JavaScript obfusqu\u00e9, pour sa part, est livr\u00e9 avec des capacit\u00e9s pour r\u00e9cup\u00e9rer un ex\u00e9cutable de deuxi\u00e8me \u00e9tape \u00e0 partir d&#8217;un serveur distant, qui, \u00e0 son tour, contient un binaire proxy Avast (<a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/threatintel\/apt-treasure-trove-avast-suspects-chinese-apt-group-mustang-panda-is-collecting-data-from-burmese-government-agencies-and-opposition-groups\/\" target=\"_blank\">wsc_proxy.exe<\/a>) qui est connu pour \u00eatre vuln\u00e9rable \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1574\/002\/\" target=\"_blank\">Chargement lat\u00e9ral de DLL<\/a> attaques.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/02\/1676058265_487_Des-chercheurs-decouvrent-du-code-malveillant-obscurci-dans-des-packages.png\" alt=\"Index des packages Python\" border=\"0\" data-original-height=\"283\" data-original-width=\"728\" title=\"Index des packages Python\"\/><\/div>\n<p>Cela permet \u00e0 l&#8217;auteur de la menace d&#8217;invoquer une biblioth\u00e8que malveillante con\u00e7ue pour r\u00e9cup\u00e9rer un composant de troisi\u00e8me \u00e9tape, Demon.bin, \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le (C2).<\/p>\n<p>&#8220;Demon.bin est un agent malveillant avec des fonctionnalit\u00e9s typiques de RAT (cheval de Troie d&#8217;acc\u00e8s \u00e0 distance) qui a \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9 \u00e0 l&#8217;aide d&#8217;un framework open source, post-exploitation, de commande et de contr\u00f4le nomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/HavocFramework\/Havoc\" target=\"_blank\">Ravage<\/a>&#8220;, Lucija Valenti\u0107, chercheuse chez ReversingLabs <a rel=\"nofollow noopener\" href=\"https:\/\/www.reversinglabs.com\/blog\/open-source-malware-sows-havoc-on-supply-chain\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>De plus, l&#8217;auteur d&#8217;aabquerys aurait publi\u00e9 plusieurs versions de deux autres packages nomm\u00e9s aabquery et nvm_jquery qui sont soup\u00e7onn\u00e9s d&#8217;\u00eatre les premi\u00e8res it\u00e9rations d&#8217;aabquerys.<\/p>\n<p>Havoc est loin d&#8217;\u00eatre le seul cadre d&#8217;exploitation C2 d\u00e9tect\u00e9 dans la nature, avec des acteurs criminels tirant parti de suites personnalis\u00e9es telles que Manjusaka, Covenant, Merlin et Empire dans des campagnes de logiciels malveillants.<\/p>\n<p>Les r\u00e9sultats soulignent \u00e9galement la croissance <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/phylum-identifies-98-malicious-npm-packages\" target=\"_blank\">risque<\/a> de <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/malware-monthly-december-2022\" target=\"_blank\">forfaits n\u00e9fastes<\/a> se cachent dans des r\u00e9f\u00e9rentiels open source tels que npm et PyPi, ce qui peut avoir un impact important sur la cha\u00eene d&#8217;approvisionnement logicielle.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/researchers-uncover-obfuscated.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80210 f\u00e9vrier 2023\ue804Ravie LakshmananCha\u00eene d&#8217;approvisionnement \/ S\u00e9curit\u00e9 des logiciels Quatre packages malveillants diff\u00e9rents dans Python Package Index (APIPy) ont \u00e9t\u00e9 trouv\u00e9s pour effectuer un certain nombre d&#8217;actions malveillantes, y compris la suppression de logiciels malveillants, la suppression de l&#8217;utilitaire netstat et la manipulation du fichier SSH authorized_keys. Les colis en question sont aptx, bingchilling2, httopset [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":601443,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,5597,4168,4158,4165,4161,429,3073,133,4157,4159,4171,4170,4167,7733,4160,4163,4162,144979,7309,69497,39385,4172,4169,4166,4164],"class_list":["post-601442","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-code","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-decouvrent","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-malveillant","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-obscurci","tag-packages","tag-pypi","tag-python","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/601442","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=601442"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/601442\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/601443"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=601442"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=601442"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=601442"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}