Un acteur de la menace par le nom Lolip0p a téléchargé trois packages escrocs dans le référentiel Python Package Index (PyPI) qui sont conçus pour déposer des logiciels malveillants sur les systèmes de développement compromis.
Les forfaits – nommés bibliothèque de couleurs (versions 4.6.11 et 4.6.12), httpslib (versions 4.6.9 et 4.6.11), et libhttps (version 4.6.12) – par l’auteur entre le 7 janvier 2023 et le 12 janvier 2023. Ils ont depuis été retirés de PyPI, mais pas avant d’avoir été téléchargés plus de 550 fois.
Les modules sont livrés avec des scripts de configuration identiques conçus pour invoquer PowerShell et exécuter un binaire malveillant (« Oxzy.exe« ) hébergé sur Dropbox, Fortinet divulgué dans un rapport publié la semaine dernière.
L’exécutable, une fois lancé, déclenche la récupération d’une étape suivante, également un binaire nommé mise à jour.exequi s’exécute dans le dossier temporaire de Windows (« %USER%\AppData\Local\Temp\ »).
update.exe est signalé par les éditeurs d’antivirus sur VirusTotal comme un voleur d’informations qui est également capable de déposer des fichiers binaires supplémentaires, dont l’un est détecté par Microsoft comme Wacatac.
Le fabricant de fenêtres décrit le cheval de Troie comme une menace qui « peut effectuer un certain nombre d’actions au choix d’un pirate malveillant sur votre PC », y compris la livraison rançongiciel et d’autres charges utiles.
« L’auteur positionne également chaque package comme légitime et propre en incluant une description de projet convaincante », a déclaré Jin Lee, chercheur chez Fortinet FortiGuard Labs. « Cependant, ces packages téléchargent et exécutent un exécutable binaire malveillant. »
La divulgation arrive des semaines après que Fortinet a déterré deux autres paquets malveillants du nom de Shaderz et aioconsol qui abritent des capacités similaires pour recueillir et exfiltrer des informations personnelles sensibles.
Les résultats démontrent une fois de plus le flux constant d’activités malveillantes enregistrées dans les référentiels de packages open source populaires, dans lesquels les acteurs de la menace profitent des relations de confiance pour planter du code contaminé afin d’amplifier et d’étendre la portée des infections.
Les utilisateurs sont invités à faire preuve de prudence lorsqu’il s’agit de télécharger et d’exécuter des packages d’auteurs non fiables afin d’éviter de devenir la proie d’attaques de la chaîne d’approvisionnement.
