Plus de détails sont apparus sur les opérateurs derrière la première campagne de phishing connue spécifiquement destinée au Python Package Index (PyPI), le référentiel de logiciels tiers officiel pour le langage de programmation.
Le connecter à un acteur menaçant suivi comme JusLedgerla société de cybersécurité SentinelOne, ainsi que Checkmarx, ont décrit le groupe comme une entité relativement nouvelle qui a fait surface au début de 2022.
Les premières campagnes « discrètes » auraient impliqué l’utilisation d’applications d’installation Python malveillantes pour fournir un malware basé sur .NET appelé JuiceStealer, conçu pour siphonner les mots de passe et autres données sensibles des navigateurs Web des victimes.
Les attaques ont fait peau neuve le mois dernier lorsque les acteurs de JuiceLedger ont ciblé les contributeurs du package PyPi dans une campagne de phishing, entraînant la compromission de trois packages avec des logiciels malveillants.
« L’attaque de la chaîne d’approvisionnement contre les contributeurs du package PyPI semble être une escalade d’une campagne lancée plus tôt dans l’année qui ciblait initialement des victimes potentielles via de fausses applications de trading de crypto-monnaie », a déclaré le chercheur de SentinelOne, Amitai Ben Shushan Ehrlich. a dit dans un rapport.
L’objectif est vraisemblablement d’infecter un public plus large avec le voleur d’informations grâce à un mélange de packages de chevaux de Troie et de typosquats, a ajouté la société de cybersécurité.
Le développement ajoute aux préoccupations croissantes concernant la sécurité de l’écosystème open source, incitant Google à prendre des mesures pour annoncer des récompenses monétaires pour avoir trouvé des failles dans ses projets disponibles dans le domaine public.
Les attaques de prise de contrôle de compte devenant un vecteur d’infection populaire pour les attaquants cherchant à empoisonner les chaînes d’approvisionnement de logiciels, PyPI a commencé à imposer une exigence obligatoire d’authentification à deux facteurs (2FA) pour les projets jugés « critiques ».
« JuiceLedger semble avoir évolué très rapidement d’infections opportunistes à petite échelle il y a seulement quelques mois à la conduite d’une attaque de la chaîne d’approvisionnement contre un important distributeur de logiciels », a déclaré SentinelOne.
