Pas moins de huit packages Python qui ont été téléchargés plus de 30 000 fois ont été supprimés du portail PyPI pour avoir contenu du code malveillant, soulignant une fois de plus comment les référentiels de packages logiciels évoluent en une cible populaire pour les attaques de la chaîne d’approvisionnement.

« Le manque de modération et de contrôles de sécurité automatisés dans les référentiels de logiciels publics permettent même aux attaquants inexpérimentés de les utiliser comme plate-forme pour diffuser des logiciels malveillants, que ce soit par le biais de typosquattage, de confusion de dépendance ou de simples attaques d’ingénierie sociale », les chercheurs de JFrog Andrey Polkovnichenko, Omer Kaspi et Shachar Menashe mentionné Jeudi.

PyPI, abréviation de Python Package Index, est le référentiel de logiciels tiers officiel pour Python, avec des utilitaires de gestion de packages tels que pépin en s’appuyant sur elle comme source par défaut pour les packages et leurs dépendances.

Les packages Python en question, qui se sont avérés obscurcis à l’aide de l’encodage Base64, sont répertoriés ci-dessous :

• pytagora (téléchargé par leonora123)
• pytagora2 (téléchargé par leonora123)
• noblesse (téléchargé par xin1111)
• genesisbot (téléchargé par xin1111)
• sont (téléchargés par xin1111)
• souffrir (téléchargé par souffrir)
• noblesse2 (téléchargé par souffrir)
• noblessev2 (téléchargé par souffrir)

Les packages susmentionnés pourraient être abusés pour devenir un point d’entrée pour des menaces plus sophistiquées, permettant à l’attaquant d’exécuter du code à distance sur la machine cible, d’amasser des informations système, de piller les informations de carte de crédit et les mots de passe enregistrés automatiquement dans les navigateurs Chrome et Edge, et même de voler Jetons d’authentification Discord pour usurper l’identité de la victime.

PyPI n’est pas le seul parmi les référentiels de packages logiciels qui ont émergé comme une surface d’attaque potentielle pour les intrus, avec des packages malveillants découverts dans npm et RubyGems équipés de capacités qui pourraient potentiellement perturber un système entier ou servir de point de départ précieux pour creuser plus profondément. un réseau de victimes.

Le mois dernier, Sonatype et Vdoo divulgué des packages typosquattés dans PyPi qui téléchargeaient et exécutaient un script shell de charge utile qui, à son tour, récupérait un cryptominer tiers tel que T-Rex, ubqminer ou PhoenixMiner pour extraire Ethereum et Ubiq sur les systèmes victimes.

« La découverte continue de packages logiciels malveillants dans des référentiels populaires comme PyPI est une tendance alarmante qui peut conduire à des attaques généralisées de la chaîne d’approvisionnement », a déclaré le directeur technique de JFrog, Asaf Karas. « La possibilité pour les attaquants d’utiliser des techniques d’obscurcissement simples pour introduire des logiciels malveillants signifie que les développeurs doivent être concernés et vigilants. Il s’agit d’une menace systémique, et elle doit être activement traitée sur plusieurs couches, à la fois par les responsables des référentiels de logiciels et par les développeurs . »

« Du côté des développeurs, des mesures préventives telles que la vérification des signatures de bibliothèque et l’utilisation d’outils de sécurité d’application automatisés qui recherchent des indices de code suspect inclus dans le projet, devraient faire partie intégrante de tout pipeline CI/CD. Des outils automatisés tels que ceux-ci peuvent alerter lorsque des paradigmes de code malveillant sont utilisés », a ajouté Karas.