Des acteurs malveillants ont publié plus de 451 packages Python uniques sur le référentiel officiel Python Package Index (PyPI) dans le but d’infecter les systèmes des développeurs avec des logiciels malveillants clipper.
La société de logiciels de sécurité de la chaîne d’approvisionnement Phylum, qui repéré les bibliothèquesa déclaré que l’activité en cours fait suite à une campagne initialement divulguée en novembre 2022.
Le vecteur initial consiste à utiliser le typosquatting pour imiter des packages populaires tels que beautifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana et tensorflow, entre autres.
« Après l’installation, un fichier JavaScript malveillant est déposé sur le système et exécuté en arrière-plan de toute session de navigation Web », déclare Phylum. a dit dans un rapport publié l’année dernière. « Lorsqu’un développeur copie une adresse de crypto-monnaie, l’adresse est remplacée dans le presse-papiers par l’adresse de l’attaquant. »
Ceci est réalisé en créant une extension de navigateur Web Chromium dans le dossier Windows AppData et en y écrivant le Javascript malveillant et un fichier manifest.json qui demande les autorisations des utilisateurs pour accéder et modifier le presse-papiers.
Les navigateurs Web ciblés incluent Google Chrome, Microsoft Edge, Brave et Opera, les logiciels malveillants modifiant les raccourcis du navigateur pour charger automatiquement le module complémentaire au lancement à l’aide du commutateur de ligne de commande « –load-extension ».
Le dernier ensemble de packages Python présente un mode opératoire similaire, sinon le même, et est conçu pour fonctionner comme un portefeuille cryptographique basé sur un presse-papiers remplaçant les logiciels malveillants. Ce qui a changé, c’est la technique d’obscurcissement utilisée pour dissimuler le code JavaScript.
Le but ultime des attaques est de détourner les transactions de crypto-monnaie initiées par le développeur compromis et de les rediriger vers des portefeuilles contrôlés par l’attaquant au lieu du destinataire prévu.
« Cet attaquant a considérablement augmenté son empreinte dans pypi grâce à l’automatisation », a noté Phylum. « Inonder l’écosystème avec des packages comme celui-ci va continuer. »
Les découvertes coïncident avec une rapport de Sonatype, qui a trouvé 691 paquets malveillants dans le registre npm et 49 paquets malveillants dans PyPI au cours du seul mois de janvier 2023.
Le développement illustre une fois de plus la menace croissante les développeurs sont confrontés aux attaques de la chaîne d’approvisionnement, les adversaires s’appuyant sur des méthodes telles que le typosquattage pour inciter les utilisateurs à télécharger des packages frauduleux.
