- Publicité -


13 décembre 2022Ravie Lakshmanan

Développeurs Python et JavaScript

Une campagne active de logiciels malveillants cible le Python Package Index (PyPI) et les référentiels npm pour Python et JavaScript avec des modules typosquattés et faux qui déploient une souche de ransomware, marquant le dernier problème de sécurité affectant les chaînes d’approvisionnement logicielles.

- Publicité -

Les packages Python typosquattés imitent tous le populaire bibliothèque de requêtes: dequests, fequests, gequests, rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta, requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests, telnservrr, and tequests.

Selon Phylumles packages malveillants intègrent un code source qui récupère le binaire du ransomware basé sur Golang à partir d’un serveur distant en fonction du système d’exploitation et de la microarchitecture de la victime.

La cyber-sécurité

Une exécution réussie entraîne le changement de l’arrière-plan du bureau de la victime en une image contrôlée par l’acteur qui se réclame de la Central Intelligence Agency (CIA) des États-Unis. Il est également conçu pour crypter les fichiers et exiger une rançon de 100 $ en crypto-monnaie.

Signe que l’attaque ne se limite pas à PyPI, l’adversaire a été repéré en train de publier cinq modules différents dans npm : discordallintsbot, discordselfbot16, discord-all-intents-bot, discors.jd et telnservrr.

“L’attaquant a également publié plusieurs packages npm qui se comportent de manière similaire”, a déclaré le CTO de Phylum, Louis Lang, ajoutant que chacune des bibliothèques contient l’équivalent JavaScript du même code pour déployer le ransomware.

Les résultats viennent comme ReversingLabs découvert une tranche de 10 packages PyPI supplémentaires poussant des versions modifiées du malware W4SP Stealer dans le cadre d’une attaque de la chaîne d’approvisionnement en cours visant les développeurs de logiciels qui aurait commencé vers le 25 septembre 2022.

Ce n’est pas tout. Plus tôt ce mois-ci, la société israélienne de sécurité de la chaîne d’approvisionnement en logiciels Legit Security a démontré une nouvelle technique d’attaque contre un référentiel Rust (“rust-lang”) qui abuse des actions GitHub pour empoisonner des artefacts légitimes.

Les artefacts de génération sont les fichiers créés par le processus de génération, tels que les packages de distribution, les fichiers WAR, les journaux et les rapports. En remplaçant les modules réels par des versions cheval de Troie, un acteur pourrait voler des informations sensibles ou fournir des charges utiles supplémentaires à tous ses utilisateurs en aval.

“La vulnérabilité a été trouvée dans un flux de travail appelé” ci.yml “qui est responsable de la construction et du test du code du référentiel”, a déclaré Noam Dotan, chercheur à Legit Security. a dit dans une rédaction technique.

github

En exploitant cette faiblesse, un attaquant pourrait inciter le flux de travail GitHub à exécuter un artefact contenant des logiciels malveillants, permettant ainsi de falsifier les branches du référentiel, les demandes d’extraction, les problèmes et les versions.

Les mainteneurs du langage de programmation Rust adressé l’émission le 26 septembre 2022, suite à la divulgation responsable du 15 septembre 2022.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.



Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici