Des logiciels malveillants trs invasifs ciblant les dveloppeurs de logiciels circulent nouveau dans des bibliothques de codes troyens, les plus rcents ayant t tlchargs des milliers de fois au cours des huit derniers mois, ont indiqu des chercheurs mercredi.
Depuis janvier, huit outils de dveloppement distincts contiennent des payloads caches dotes de diverses capacits malveillantes, a indiqu la socit de scurit Checkmarx. Le plus rcent a t publi le mois dernier sous le nom de « pyobfgood ». Comme les sept paquets qui l’ont prcd, pyobfgood se prsente comme un outil d’obscurcissement lgitime que les dveloppeurs peuvent utiliser pour empcher la rtro-ingnierie et la falsification de leur code. Une fois excut, il installait une payload, donnant l’attaquant le contrle presque total de la machine du dveloppeur.
Dans le domaine du dveloppement de logiciels, les outils et les paquets open source jouent un rle essentiel dans la simplification des tches et l’acclration des processus de dveloppement. Cependant, mesure que la communaut grandit, le nombre d’acteurs malveillants cherchant l’exploiter augmente galement. Un exemple rcent est celui des dveloppeurs cibls par des paquets d’obscurcissement Python apparemment lgitimes, mais qui abritent des codes malveillants.
Yehuda Gelb, un chercheur en scurit chez Checkmarx vient de publier les rsultats de ses recherches sur les paquets d’obscurcissement Python. Voici les points cls de sa recherche :
- Tout au long de l’anne 2023, des attaquants ont distribu des paquets Python malveillants dguiss en outils d’obscurcissement lgitimes.
- La payload malveillante s’active ds l’installation.
- Appel « BlazeStealer », il rcupre un script malveillant supplmentaire partir d’une source externe, activant un bot Discord qui permet aux attaquants de prendre le contrle total de l’ordinateur de la victime.
- Les dveloppeurs qui s’adonnent l’obscurcissement du code travaillent probablement avec des informations prcieuses et sensibles. Par consquent, les pirates les considrent comme des cibles prcieuses poursuivre et sont donc susceptibles d’tre les victimes vises par cette attaque.
Tout au long de l’anne et jusqu’au mois dernier, les pirates ont introduit divers paquets dont les noms commenaient par « pyobf », notamment « pyobftoexe », « pyobfusfile », « pyobfexecute », pour n’en citer que quelques-uns, et plus rcemment, « pyobfgood ». Ces paquets, qui se prsentent premire vue comme des outils utiles pour l’obscurcissement du code Python, ont des intentions caches. Ces noms, choisis par les attaquants, ont t intentionnellement conus pour ressembler d’authentiques paquets tels que « pyobf2 » et « pyobfuscator », que les dveloppeurs utilisent pour obscurcir leur code Python.
pyobfgood, le paquet le plus rcent de ce type, et celui dont nous parlerons dans ce blog, a t publi fin octobre 2023 dans l’cosystme Python, apportant avec lui une charge utile destructrice.
Un examen plus approfondi du paquet pyobfgood a rvl les lments suivants : Les fichiers setup.py et init.py du paquet contiennent un script activ lors de l’installation du paquet, qui reoit et excute du code provenant d’une source externe :
Ils l’appellent – BlazeStealer
L’examen du code Python rcupr a permis de faire plusieurs observations.
Ce logiciel malveillant, nomm « BlazeStealer », excute un bot Discord avec l’identifiant unique suivant : « MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo«
Une fois activ, ce bot donne l’attaquant le contrle total du systme de la cible, ce qui lui permet d’effectuer une myriade d’actions nuisibles sur la machine de la victime. Il peut notamment
- Exfiltrer des informations dtailles sur l’hte
- voler des mots de passe dans le navigateur web Chrome
- installer un enregistreur de frappe
- tlcharger des fichiers partir du systme de la victime
- faire des captures d’cran et enregistrer l’cran et le son
- Rendre l’ordinateur inoprant en augmentant l’utilisation du processeur, en insrant un script batch dans le rpertoire de dmarrage pour teindre l’ordinateur ou en provoquant une erreur BSOD avec un script Python.
- chiffrer des fichiers, ventuellement contre une ranon
- Dsactiver Windows Defender et le gestionnaire des tches
- Excuter n’importe quelle commande sur l’hte compromis
Sourire l’appareil photo 🙂 Votre paquetage open-source vous prend en photo
Le bot Discord inclut une commande spcifique pour contrler la camra de l’ordinateur. Pour ce faire, il tlcharge discrtement un fichier zip partir d’un serveur distant, en extrait le contenu et excute une application appele WebCamImageSave.exe. Cette application permet au robot de prendre secrtement une photo l’aide de la webcam. L’image obtenue est ensuite renvoye sur le canal Discord, sans laisser de trace de sa prsence aprs avoir supprim les fichiers tlchargs.
Parmi ces fonctions malveillantes, l’humour malveillant du bot apparat dans des messages qui tournent en drision la destruction imminente de la machine compromise. « Votre ordinateur va commencer brler, bonne chance. » et « Votre ordinateur va mourir maintenant, bonne chance pour le rcuprer «
Mais au moins, il y a un smiley la fin de ces messages. Ces messages soulignent non seulement l’intention malveillante, mais aussi l’audace des attaquants.
Les cibles de ces attaques
Qui sont les cibles de ces attaques ? Pourquoi les ciblent-ils ?
Il va de soi que les dveloppeurs qui s’adonnent l’obscurcissement du code manipulent probablement des informations prcieuses et sensibles, ce qui, pour un pirate informatique, en fait une cible digne d’intrt.
Rpartition en pourcentage du nombre total de tlchargements du paquet malveillant par pays
Conclusion
Le domaine des logiciels libres reste un terrain fertile pour l’innovation, mais il faut tre prudent. Les dveloppeurs doivent rester vigilants et vrifier les paquets avant de les consommer.
Dans le cadre de la solution Checkmarx Supply Chain Security, notre quipe de recherche surveille en permanence les activits suspectes dans l’cosystme des logiciels libres. Nous suivons et signalons les « signaux » qui peuvent indiquer un jeu dloyal et alertons rapidement nos clients pour les aider se protger.
Source : Yehuda Gelb, chercheur en scurit chez Checkmarx
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :