Bibliothèques Python Dérobées

Les chercheurs ont découvert un certain nombre de packages Python malveillants dans le référentiel de logiciels tiers officiel qui sont conçus pour exfiltrer les informations d’identification AWS et les variables d’environnement vers un point de terminaison exposé publiquement.

La liste des packages comprend loglib-modules, pyg-modules, pygrata, pygrata-utils et hkg-sol-utils, selon Ax Sharma, chercheur en sécurité chez Sonatype. Les packages ainsi que le point de terminaison ont maintenant été supprimés.

« Certains de ces packages contiennent soit du code qui lit et exfiltre vos secrets, soit utilisent l’une des dépendances qui fera le travail », a déclaré Sharma. a dit.

Le code malveillant injecté dans « loglib-modules » et « pygrata-utils » lui permet de récolter les informations d’identification AWS, les informations d’interface réseau et les variables d’environnement et de les exporter vers un point de terminaison distant : « hxxp://graph.pygrata[.]com:8000/téléchargement. »

Fait troublant, les terminaux hébergeant ces informations sous la forme de centaines de fichiers .TXT n’étaient sécurisés par aucune barrière d’authentification, permettant ainsi à toute partie sur le Web d’accéder à ces informations d’identification.

Publicité

Il est à noter que des packages tels que « pygrata » utilisent l’un des deux packages susmentionnés comme dépendance et n’hébergent pas le code eux-mêmes. L’identité de l’auteur de la menace et ses motivations restent floues.

Secrets Et Clés Aws

« Les informations d’identification volées ont-elles été intentionnellement exposées sur le Web ou une conséquence de mauvaises pratiques OPSEC ? », a interrogé Sharma. « S’il s’agit d’une sorte de test de sécurité légitime, il n’y a sûrement pas beaucoup d’informations à l’heure actuelle pour exclure la nature suspecte de cette activité. »

Ce n’est pas la première fois que des packages malveillants similaires sont découverts sur des référentiels open source. Il y a exactement un mois, deux packages Python et PHP contenant des chevaux de Troie, nommés ctx et phpass, ont été découverts dans un autre cas d’attaque de la chaîne d’approvisionnement logicielle.

La Cyber-Sécurité

Un chercheur en sécurité basé à Istanbul, Yunus Aydın, a par la suite revendiqué la responsabilité des modifications non autorisées, déclarant qu’il voulait simplement « montrer comment cette simple attaque affecte +10 millions d’utilisateurs et d’entreprises ».

Dans le même ordre d’idées, une société allemande de tests d’intrusion nommée Code White a reconnu le mois dernier avoir téléchargé des packages malveillants dans le registre NPM dans le but d’imiter de manière réaliste les attaques de confusion de dépendance ciblant ses clients dans le pays, dont la plupart sont des médias de premier plan, la logistique, et les entreprises industrielles.


Rate this post
Publicité
Article précédentLa sonde Mars Express reçoit une mise à jour pour le logiciel développé sous Windows 98
Article suivantTour d’horizon des actualités de VTuber : semaine du 10 avril 2022
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici