10 février 2023Ravie LakshmananChaîne d’approvisionnement / Sécurité des logiciels

Paquets Python Pypi

Quatre packages malveillants différents dans Python Package Index (APIPy) ont été trouvés pour effectuer un certain nombre d’actions malveillantes, y compris la suppression de logiciels malveillants, la suppression de l’utilitaire netstat et la manipulation du fichier SSH authorized_keys.

Les colis en question sont aptx, bingchilling2, httopset tkint3rs, qui ont tous été téléchargés collectivement environ 450 fois avant d’être supprimés. Alors qu’aptx est une tentative de se faire passer pour Qualcomm codec audio très populaire du même nom, httops et tkint3rs sont respectivement des typosquats de https et tkinter.

« La plupart de ces paquets avaient des noms bien pensés, pour confondre volontairement les gens », a déclaré Ax Sharma, chercheur en sécurité et journaliste. a dit.

Une analyse du code malicieux injecté dans le script d’installation révèle la présence d’un obfuscated Charge utile Meterpreter c’est déguisé en « pépin« , un installateur de package légitime pour Python, et peut être utilisé pour obtenir un accès shell à l’hôte infecté.

Publicité

Des mesures sont également prises pour supprimer le netstat utilitaire de ligne de commande utilisé pour surveiller la configuration et l’activité du réseau, ainsi que pour modifier le fichier .ssh/authorized_keys pour configurer une porte dérobée SSH pour l’accès à distance.

« Maintenant, c’est un exemple élégant mais réel de malware nuisible qui a réussi à se frayer un chemin dans l’écosystème open source », a noté Sharma.

Index Des Packages Python

Mais dans un signe que les logiciels malveillants se faufilant dans les référentiels de logiciels sont une menace récurrente, Fortinet FortiGuard Labs a découvert cinq packages différents – web3-essentiel, 3m-promo-gen-api, ai-solveur-gen, hypixel-coins, httpxrequesterv2et httpxrequester – qui sont conçu pour récolter et exfiltrer information sensible.

Les révélations surviennent alors que ReversingLabs met en lumière un module npm malveillant nommé aabquerys qui est conçu pour se faire passer pour le package abquery légitime pour inciter les développeurs à le télécharger.

Le code JavaScript obfusqué, pour sa part, est livré avec des capacités pour récupérer un exécutable de deuxième étape à partir d’un serveur distant, qui, à son tour, contient un binaire proxy Avast (wsc_proxy.exe) qui est connu pour être vulnérable à Chargement latéral de DLL attaques.

Index Des Packages Python

Cela permet à l’auteur de la menace d’invoquer une bibliothèque malveillante conçue pour récupérer un composant de troisième étape, Demon.bin, à partir d’un serveur de commande et de contrôle (C2).

« Demon.bin est un agent malveillant avec des fonctionnalités typiques de RAT (cheval de Troie d’accès à distance) qui a été généré à l’aide d’un framework open source, post-exploitation, de commande et de contrôle nommé Ravage« , Lucija Valentić, chercheuse chez ReversingLabs a dit.

De plus, l’auteur d’aabquerys aurait publié plusieurs versions de deux autres packages nommés aabquery et nvm_jquery qui sont soupçonnés d’être les premières itérations d’aabquerys.

Havoc est loin d’être le seul cadre d’exploitation C2 détecté dans la nature, avec des acteurs criminels tirant parti de suites personnalisées telles que Manjusaka, Covenant, Merlin et Empire dans des campagnes de logiciels malveillants.

Les résultats soulignent également la croissance risque de forfaits néfastes se cachent dans des référentiels open source tels que npm et PyPi, ce qui peut avoir un impact important sur la chaîne d’approvisionnement logicielle.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentUn nouveau jeu mobile transforme les jeux Sega rétro en anime girls sexy
Article suivantCasting complet du spin-off de « The Walking Dead : Daryl Dixon » : premières photos
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici