Pypi

Le référentiel officiel de packages logiciels Python, PyPI, est inondé de packages de spam, comme le voit BleepingComputer.

Ces packages portent le nom de différents films dans un style généralement associé aux torrents et aux sites « warez » hébergeant du contenu piraté.

Chacun de ces packages est publié par un compte de responsable pseudonyme unique, ce qui rend difficile pour PyPI de supprimer les packages et les comptes de spam en même temps.

Table des matières hide
1 PyPI est inondé de paquets de spam
2 Les packages contiennent du code provenant de composants PyPI légitimes

PyPI est inondé de paquets de spam

PyPI est inondé de paquets de spam nommés d’après des films populaires dans un style communément associé aux sites torrent ou « warez » qui proposent des téléchargements piratés : regarder-(nom-du-film)-2021-film-complet-en-ligne-gratuit-hd-…

Publicité

La découverte a été révélée lorsqu’Adam Boesch, ingénieur logiciel senior chez Sonatype, auditait un ensemble de données et a remarqué un composant PyPI au son amusant nommé d’après une sitcom télévisée populaire.

« J’ai parcouru l’ensemble de données et j’ai remarqué ‘wandavision‘ ce qui est un peu étrange pour un nom de paquet. »

« En regardant de plus près, j’ai trouvé ce paquet et l’ai recherché sur PyPI parce que je n’y croyais pas », a déclaré Boesch à BleepingComputer dans une interview.

Paquets De Spam Pypi
Dépôt PyPI inondé de paquets de spam depuis quelques semaines La source: BleepingComputer

Bien que certains de ces packages datent de quelques semaines, BleepingComputer a observé que les spammeurs continuent d’ajouter de nouveaux packages à PyPI, il y a à peine une heure.

Le nombre de résultats de recherche de « 10 000+ » pourrait être inexact, car nous avons observé que le nombre réel de paquets de spam affichés sur le référentiel PyPI était bien inférieur.

La page Web de ces faux packages contient des mots clés de spam et des liens vers des sites de streaming de films, bien que d’une légitimité et d’une légalité douteuses, tels que :

https://besflix[.]com/film/XXXXX/profil.html

Vous trouverez ci-dessous un exemple des nombreux packages publiés il y a environ une heure, au moment de la rédaction :

Paquets De Spam Pypi Publiés Aujourd'Hui
Les spammeurs continuent d’inonder PyPI aujourd’hui, au moment de la rédaction La source: BleepingComputer

BleepingComputer a également observé que chacun de ces packages était publié par un compte d’auteur (responsable) distinct utilisant un pseudonyme, ce qui compliquerait probablement la tâche des administrateurs PyPI pour supprimer ces packages.

En février de cette année, PyPI avait été inondé de faux keygens « Discord », « Google » et « Roblox » lors d’une attaque de spam massive, comme l’a rapporté ZDNet.

À l’époque, Ewa Jodlowska, directrice exécutive de la Python Software Foundation, avait déclaré à ZDNet que les administrateurs de PyPI travaillaient sur la lutte contre l’attaque de spam, cependant, de par la nature de pypi.orgn’importe qui pouvait publier dans le référentiel, et de telles occurrences étaient courantes.

Les packages contiennent du code provenant de composants PyPI légitimes

En plus de contenir des mots clés de spam et des liens vers des sites de streaming quasi-vidéo, ces packages contiennent des fichiers avec du code fonctionnel et des informations sur l’auteur extraits de packages PyPI légitimes.

Par exemple, BleepingComputer a observé que le package de spam « watch-army-of-the-dead-2021-full-online-movie-free-hd-quality », contenait des informations sur l’auteur et du code du package PyPI légitime, « serveur de langue jedi. »

À L'Intérieur Des Paquets De Spam Pypi
À l’intérieur des paquets de spam PyPI se trouve du code emprunté à de vrais composants La source: BleepingComputer

Comme indiqué précédemment par BleepingComputer, des acteurs malveillants ont combiné du code provenant de packages légitimes avec des codes autrement faux ou paquets malveillants pour masquer leurs paset rendent la détection de ces packages un peu plus difficile.

« Ce n’est pas rare dans d’autres écosystèmes comme npm, où vous avez des millions de packages. Heureusement, des packages comme ceux-ci sont assez faciles à repérer et à éviter. »

« C’est toujours une bonne idée d’enquêter sur un paquet avant de l’utiliser. Si quelque chose semble anormal, il y a une raison à cela », sourit Boesch.

Ces derniers mois, les attaques contre les écosystèmes open source comme npm, RubyGems et PyPI se sont intensifiées.

Des acteurs de la menace ont été surpris en train d’inonder des référentiels de logiciels avec malwaremal intentionné dépendance confusion copieurs, ou tout simplement forfaits de justicier pour diffuser leur message.

En tant que tel, la sécurisation de ces référentiels s’est transformée en une course effrénée entre les acteurs de la menace et les mainteneurs de référentiels.

BleepingComputer a contacté PyPI pour commentaires avant de publier et nous attendons leur réponse.

Rate this post
Publicité
Article précédentLa saison 5 de Dynasty arrive sur Netflix en septembre 2022
Article suivantComment j’ai réparé mon Firefox flou sur HiDPI + Wayland
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici