[ad_1]

Des centaines de packages Python malveillants ont été découverts en train de voler des données sensibles

Une campagne malveillante, que les chercheurs ont observée de plus en plus complexe au cours des six derniers mois, a implanté sur des plateformes open source des centaines de packages de vol d’informations qui ont compté environ 75 000 téléchargements.

La campagne est surveillée depuis début avril par les analystes de l’équipe Supply Chain Security de Checkmarx, qui ont découvert 272 packages contenant du code permettant de voler des données sensibles sur des systèmes ciblés.

L’attaque a considérablement évolué depuis sa première identification, les auteurs du package mettant en œuvre des couches d’obscurcissement et des techniques d’évasion de détection de plus en plus sophistiquées.

Publicité
Table des matières hide
1 Vol de données et de cryptomonnaies
2 Manipulation d’applications
3 Evolution de l’attaque

Vol de données et de cryptomonnaies

Les chercheurs affirment avoir commencé à observer une tendance « au sein de l’écosystème Python à partir de début avril 2023 ».

Un exemple fourni est le fichier « _init_py », qui se charge uniquement après avoir vérifié qu’il s’exécute sur un système cible et non dans un environnement virtualisé – un signe typique d’un hôte d’analyse de malware.

Vérification de la virtualisation
Vérification de la virtualisation (Checkmarx)

Une fois lancé, il cible les informations suivantes sur les systèmes infectés :

  • Outils antivirus exécutés sur l’appareil.
  • Liste des tâches, mots de passe Wi-Fi et informations système.
  • Identifiants, historique de navigation, cookies et informations de paiement stockés sur les navigateurs Web.
  • Données dans les applications de portefeuille de crypto-monnaie comme Atomic et Exodus.
  • Badges Discord, numéros de téléphone, adresses e-mail et statut nitro.
  • Données utilisateur Minecraft et Roblox.

De plus, le logiciel malveillant peut prendre des captures d’écran et voler des fichiers individuels du système compromis, tels que les répertoires Bureau, Images, Documents, Musique, Vidéos et Téléchargements.

Le presse-papiers de la victime est également surveillé en permanence pour les adresses de crypto-monnaie, et le malware les échange avec l’adresse de l’attaquant pour détourner les paiements vers les portefeuilles sous son contrôle.

La fonction tondeuse
La fonction tondeuse (Checkmarx)

Les analystes estiment que la campagne a permis de voler directement environ 100 000 dollars de crypto-monnaie.

Manipulation d’applications

Rapports Checkmarx que le malware utilisé dans cette campagne va encore plus loin que les opérations classiques de vol d’informations, en s’engageant dans la manipulation des données des applications pour porter un coup plus décisif.

Par exemple, l’archive électronique de l’application de gestion de portefeuille de crypto-monnaie Exodus est remplacée pour modifier les fichiers principaux, permettant aux attaquants de contourner la politique de sécurité du contenu et d’exfiltrer les données.

Manipuler l’exode
Manipuler l’exode (Checkmarx)

Sur Discord, si certains paramètres sont activés, le malware injecte du code JavaScript qui s’exécute au redémarrage du client.

Le malware utilise également un script PowerShell dans un terminal élevé pour manipuler les « hôtes » Windows afin que les produits de sécurité exécutés sur l’appareil piraté ne puissent pas contacter leurs serveurs.

Evolution de l’attaque

Selon les chercheurs, le code malveillant de cette campagne dans des packages datant d’avril était clairement visible, car il s’agissait de texte brut.

Cependant, en mai, les auteurs des packages ont commencé à ajouter un chiffrement pour entraver l’analyse. En août, le chercheur a remarqué qu’un obscurcissement multicouche avait été ajouté aux packages.

Obfuscation Base64 dans le code
Obfuscation Base64 dans le code (Checkmarx)

Dans un rapport séparé du chercheur Yahuda Gelb de Checkmarx, il a été mentionné que deux des packages les plus récents utilisaient pas moins de 70 couches d’obscurcissement.

Également en août, les développeurs de logiciels malveillants ont inclus la possibilité de désactiver les produits antivirus, ont ajouté Telegram à la liste des applications ciblées et ont introduit un système d’exfiltration de données de secours.

Evolution du malware
Evolution du malware (Checkmarx)

Les chercheurs préviennent que les communautés open source et les écosystèmes de développeurs continuent d’être vulnérables aux attaques de la chaîne d’approvisionnement, et que les acteurs malveillants téléchargent quotidiennement des packages malveillants sur des référentiels et des systèmes de contrôle de version largement utilisés, tels que GitHub, ou des registres de packages comme PyPi et NPM.

Il est recommandé aux utilisateurs d’examiner les projets et les éditeurs de packages en qui ils ont confiance et d’être vigilants quant aux noms de packages typosquattés.

Une liste des packages malveillants utilisés dans cette campagne est disponible ici.

[ad_2]

4.3/5 - (18 votes)
Publicité
Article précédentLe secteur manufacturier mène l’adoption privée de la 5G grâce à l’intégration de l’IoT
Article suivantLa star de « The Last of Us », Ashley Johnson, poursuit Brian Foster pour abus
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici