Des chercheurs de Phylum, une entreprise de cyberscurit qui surveille la chane d’approvisionnement des logiciels pour dtecter et signaler les menaces, ont dcouvert plus de deux douzaines de paquets Python sur le dpt PyPI qui diffusent un logiciel malveillant qui extrait et vole vos informations. La plupart des paquets identifis contiennent du code obfusqu qui dpose le voleur d’informations « W4SP » sur les machines infectes, tandis que d’autres utilisent des logiciels malveillants prtendument crs des « fins ducatives » uniquement. L’entreprise a identifi 29 paquets Python contenant le voleur d’informations W4SP.
Le rapport des chercheurs de Phylum indique que les paquets concerns sont des typosquats, c’est–dire que les acteurs de la menace qui les publient les ont nomms intentionnellement de manire similaire aux bibliothques Python lgitimes, dans l’espoir que les dveloppeurs qui tentent de rcuprer la vraie bibliothque fassent une erreur d’orthographe et rcuprent par inadvertance l’un des paquets malveillants. Comme les tentatives prcdentes, cette attaque particulire commence par la copie de bibliothques populaires existantes et l’injection d’une dclaration __import__ malveillante dans une base de code autrement saine.
Selon les chercheurs, l’avantage de mettre en place une attaque base sur la copie d’un paquetage lgitime existant est que, comme la page d’accueil du paquet sur le dpt PyPI est gnre partir du setup.py et du README.md, il dispose immdiatement d’une vritable page d’accueil avec des liens qui fonctionnent pour la plupart et tout le reste. L’image ci-dessus montre la page d’accueil PyPI pour le paquet malveillant typesutil. Vous pouvez constat que le pirate a simplement copi le paquet datetime2 et a apport quelques lgres modifications afin de rendre le texte cohrent avec le nom du faux paquet sous lequel il a t publi.
moins d’une inspection approfondie, un bref coup d’il pourrait laisser croire qu’il s’agit galement d’un paquet lgitime , affirment les chercheurs. Dans le rapport, les chercheurs expliquent en dtail les difficults qu’ils ont rencontres lors de l’analyse du code obfusqu de plus de 71 000 caractres, ce qui reprsente « une sacre quantit de boue » dans laquelle ils ont d se frayer un chemin. En fin de compte, ils ont conclu que le logiciel malveillant distribu par ces paquets tait W4SP Stealer. Il s’agit en effet d’un logiciel malveillant voleur d’informations qui exfiltre vos jetons Discord, vos cookies et vos mots de passe enregistrs.
Le rapport note que dans la majorit des paquets, en particulier les plus anciens, l’importation malveillante tait simplement injecte dans le fichier setup.py ou __init__.py. Au lieu de placer l’importation un endroit vident, les acteurs de la menace le cachent, profitant du point-virgule rarement utilis en Python pour glisser le code malveillant sur la mme ligne que le code lgitime. En conclusion, voici ci-dessous la manire exacte dont cette attaque de la chane d’approvisionnement est excute :
- des dizaines de paquets sont publis activement sur PyPI avec des noms anodins (certains sont des typosquats) qui copient de manire flagrante des paquets lgitimes existants et tentent d’y introduire en douce un petit bout de code malveillant ;
- le code malveillant est une dclaration __import__ cache dans les fichiers setup.py, __init__.py ou dans des classes d’erreur personnalises. Quoi qu’il en soit, il contient une chane code en Base64 qui est excute. Parfois, au lieu de l’importation directe dans ces fichiers, il peut s’agir simplement d’un appel os.system() qui installe un de leurs autres paquets malveillants ;
- dcode, cette chane encode en Base64 contient un script Python qui est crit dans un fichier temporaire qui est excut ;
- ce fichier temporaire contient du code qui atteint un nombre quelconque d’URL ;
- de chaque URL, il tire un code Python lgrement obfusqu qui excute un objet octet compress ;
- dcompress, cet objet octet contient le logiciel malveillant W4SP Stealer dploy sur le systme.
Selon les chercheurs, au moment de la publication du rapport, les paquets concerns reprsentent collectivement plus de 5 700 tlchargements. Notez que certains de ces paquets semblent tre des tentatives videntes de typosquattage comme twyne et colorsama (qui copient twine et colorama), qui reprsentent ensemble des centaines de millions de tlchargements par mois). En aot, les chercheurs de Kaspersky Securelist ont galement analys des paquets PyPI malveillants qui ont t obfusqus par un outil open source appel Hyperion et ont t surpris en train de dployer le logiciel malveillant W4SP.
Par ailleurs, le dveloppeur de logiciels et chercheur Hauke Lbbers a galement identifi les paquets PyPI pystile et threadings qui contiennent un logiciel malveillant qui se faisait appeler GyruzPIP. Toutefois, le chercheur estime que ce logiciel malveillant est bas sur le projet open source evil-pip publi « des fins ducatives uniquement ». Le dveloppement de cette semaine marque un autre incident parmi une srie d’attaques de typosquattage ciblant les dveloppeurs tout en exploitant les plateformes de distribution de logiciels open source comme PyPI et npm. Voici la liste des paquets infects par W4SP identifis par les chercheurs :
- algorithmic
- colorsama
- colorwin
- curlapi
- cypress
- duonet
- faq
- fatnoob
- felpesviadinho
- iao
- incrivelsim
- installpy
- oiu
- pydprotect
- pyhints
- pyptext
- pyslyte
- pystyle
- pystyte
- pyurllib
- requests-httpx
- shaasigma
- strinfer
- stringe
- sutiltype
- twyne
- type-color
- typestring
- typesutil
Source : Phylum
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de la multiplication des attaques de typosquattage ?
Aviez-vous t victime de cela dernirement ? Si oui, partagez votre exprience.
Selon vous, comment les dveloppeurs peuvent-ils se protger contre les attaques de ce type ?
Voir aussi