Pypi

Le référentiel officiel de packages logiciels Python, PyPI, est inondé de packages de spam, comme le voit BleepingComputer.

Ces packages portent le nom de différents films dans un style généralement associé aux torrents et aux sites « warez » hébergeant du contenu piraté.

Chacun de ces paquets est publié par un compte de mainteneur pseudonyme unique, ce qui rend difficile pour PyPI de supprimer les paquets et les comptes de spam en même temps.

Table des matières hide
1 PyPI est inondé de packages de spam
2 Les packages contiennent du code provenant de composants PyPI légitimes

PyPI est inondé de packages de spam

PyPI est inondé de packages de spam nommés d’après des films populaires dans un style généralement associé aux sites torrent ou « warez » qui fournissent des téléchargements piratés: regarder- (nom-du-film) -2021-film-complet-en-ligne-gratuit-hd -…

Publicité

La découverte a été révélée quand Adam Boesch, ingénieur logiciel senior chez Sonatype, a audité un ensemble de données et a remarqué un composant PyPI au son drôle nommé d’après une sitcom télévisée populaire.

« Je regardais l’ensemble de données et j’ai remarqué ‘wandavision‘ce qui est un peu étrange pour un nom de paquet. « 

«En regardant de plus près, j’ai trouvé ce paquet et je l’ai recherché sur PyPI parce que je n’y croyais pas», a déclaré Boesch à BleepingComputer dans une interview.

Paquets De Spam Pypi
Dépôt PyPI inondé de packages de spam depuis quelques semaines
Source: BleepingComputer

Bien que certains de ces packages datent de quelques semaines, BleepingComputer a observé que les spammeurs continuaient d’ajouter des packages plus récents à PyPI, il y a à peine une heure.

Le nombre de résultats de recherche de « 10 000+ » pourrait être inexact, car nous avons observé que le nombre réel de paquets de spam affichés sur le référentiel PyPI était bien inférieur.

La page Web de ces faux paquets contient des mots-clés de spam et des liens vers des sites de streaming de films, bien que de légitimité et de légalité douteuses, tels que:

https: // besflix[.]com / movie / XXXXX / profile.html

Voici un exemple des nombreux packages publiés il y a environ une heure, au moment de la rédaction de cet article:

Paquets De Spam Pypi Publiés Aujourd'Hui
Les spammeurs continuent d’inonder PyPI aujourd’hui, au moment de la rédaction de cet article
Source: BleepingComputer

BleepingComputer a également observé que chacun de ces paquets était publié par un compte auteur distinct (mainteneur) utilisant un pseudonyme, ce qui rendra probablement difficile pour les administrateurs PyPI de supprimer ces paquets.

En février de cette année, PyPI avait été inondée de faux keygens « Discord », « Google » et « Roblox » lors d’une attaque massive de spam, comme l’a rapporté ZDNet.

À l’époque, Ewa Jodlowska, directrice exécutive de la Python Software Foundation, avait déclaré à ZDNet que les administrateurs de PyPI travaillaient à lutter contre l’attaque de spam, cependant, de par la nature de pypi.org, n’importe qui pouvait publier dans le référentiel, et de telles occurrences étaient courantes.

Les packages contiennent du code provenant de composants PyPI légitimes

En plus de contenir des mots-clés de spam et des liens vers des sites de quasi-streaming vidéo, ces packages contiennent des fichiers avec du code fonctionnel et des informations sur l’auteur provenant de packages PyPI légitimes.

Par exemple, BleepingComputer a observé que le package de spam « watch-army-of-the-dead-2021-full-online-movie-free-hd-quality », « contenait des informations sur l’auteur et du code du package PyPI légitime ».serveur de langage jedi. « 

À L'Intérieur Des Packages De Spam Pypi
À l’intérieur des packages de spam PyPI se trouve du code emprunté à des composants réels
Source: BleepingComputer

Comme précédemment rapporté par BleepingComputer, les acteurs malveillants ont combiné le code de paquets légitimes avec des paquets autrement faux ou malveillants pour masquer leurs traces et rendre la détection de ces paquets un peu plus difficile.

« Ce n’est pas rare dans d’autres écosystèmes comme npm, où vous avez des millions de paquets. Heureusement, des paquets comme ceux-ci sont assez faciles à repérer et à éviter. »

« C’est toujours une bonne idée d’étudier un paquet avant de l’utiliser. Si quelque chose ne va pas, il y a une raison à cela », sourit Boesch.

Ces derniers mois, les attaques contre les écosystèmes open source comme npm, RubyGems et PyPI se sont intensifiées.

Les acteurs de la menace ont été surpris en train d’inonder les référentiels de logiciels avec des logiciels malveillants, des copieurs de confusion de dépendance malveillante ou tout simplement forfaits justiciers pour diffuser leur message.

En tant que tel, la sécurisation de ces référentiels s’est transformée en une course folle entre les acteurs de la menace et les responsables des référentiels.

BleepingComputer a contacté PyPI pour obtenir des commentaires avant de publier et nous attendons sa réponse.

Rate this post
Publicité
Article précédentCrash Bitcoin 2021 J’ai acheté la trempette Bitcoin? Votre échange de crypto amical de quartier a ressenti la douleur
Article suivantÉcran Samsung à l’aide de l’IA dans le développement de panneaux
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici