Posté le août 21, 2022 à 8:59
DES CHERCHEURS DÉCOUVRENT 241 PAQUETS NPM ET PYPI DÉPOSANT DES CRYTPOMINERS SUR LINUX
Des chercheurs en sécurité ont découvert pas moins de 241 paquets npm et PyPI malveillants qui infectent les machines Linux avant de déposer des crytpominers.
Selon le rapport, les paquets sont des typosquats de bibliothèques et de commandes open source très courantes telles que AIOHTTP, argparse et React. Cependant, ils ont plusieurs capacités, notamment celle de télécharger et d’installer des scripts Bash de minage de cryptomonnaie depuis le serveur du hacker.
PyPI est un référentiel de plus de 350 000 logiciels libres qui permet à des millions d’utilisateurs enregistrés de les installer dans leurs projets Python. Cela les aide à développer des produits complexes en toute simplicité. Les développeurs de logiciels malveillants profitent généralement de la nature open-source des logiciels malveillants pour télécharger des paquets faux ou malveillants afin de pénétrer dans les systèmes des développeurs.
33 projets ont lancé le cryptomineur XMRig
Le chercheur et développeur de logiciels Hauke Lubbers a déclaré qu’environ 33 projets sur PyPI ont tous lancé le cryptomineur open-source Monero XMRig après avoir infecté un appareil. Alors que le chercheur était sur le point de signaler sa découverte des 33 projets malveillants à l’administrateur de PyPI, il a découvert que les hackers ont commencé à publier un autre ensemble de 22 paquets avec le même type de charge utile malveillante.
« Après que je les ai signalés à PyPI, ils ont été rapidement supprimés », a déclaré Lubber. Cependant, il a ajouté que l’acteur malveillant essayait toujours de télécharger d’autres paquets et d’en télécharger 22 de plus.
Les acteurs de la menace ont utilisé les paquets pour cibler les systèmes Linux, installant au passage le logiciel de minage de crypto-monnaies XMRig.
Les paquets Python sont construits avec des codes permettant de télécharger le script Bash depuis le serveur du hacker via le raccourcisseur d’URL Bit.ly. Le chercheur en sécurité a expliqué que la redirection a été réalisée en téléchargeant et en échangeant le script Bash depuis http://80.78.25[.]140:8000/.cmc ».
Une fois exécuté, le script informe le hacker de l’adresse IP de l’hôte violé et lui indique si le déploiement du cryptomineur a réussi.
L’adresse IP a été supprimée
Selon BleepingComputer, qui a communiqué directement avec le chercheur, l’adresse IP a été supprimée au moment du rapport. Mais les affirmations du chercheur ont été confirmées par la copie des scripts qu’il a envoyée.
M. Lubbers a déclaré avoir découvert les paquets grâce à son petit projet parallèle appelé Package Observatory Club. Il était utilisé pour interroger et stocker des métadonnées sur différents paquets téléchargés sur RubyGems.org et PyPI. Il exécute également quelques heuristiques. Dès qu’un paquet commence à être suspect, le projet alerte le chercheur pour qu’il examine les activités de plus près.
Le développeur se réfère à l’heuristique lorsque les noms des paquets semblent similaires à ceux de paquets populaires et de bibliothèques standard indiquant la présence de typosquats potentiels. Il est très courant de recevoir un faux positif, mais la semaine dernière, le nombre de typosquats sur PyPI était sans précédent.
Le chercheur a indiqué qu’il avait décidé de mener des recherches et de faire cette découverte parce que la communauté de la sécurité informatique tire un grand profit de l’écosystème des logiciels libres. En conséquence, il a décidé de donner quelque chose en retour. Il a ajouté qu’il continuerait à contribuer directement en signalant les failles et en aidant à protéger les serveurs des acteurs malveillants. Il convient toutefois de noter que plusieurs travaux du côté des dépôts de paquets sont réalisés par très peu de bénévoles.
M. Lubbers a indiqué que l’équipe de recherche en sécurité de Sonatype dont il fait partie a découvert 186 autres paquets npm typosquatting qui contactent le même type d’URL pour télécharger le script Bash malveillant. L’équipe de sécurité a continué à travailler ensemble pour découvrir d’autres paquets qui pourraient être utilisés pour explorer des serveurs vulnérables.
De nouveaux acteurs malveillants ciblent les serveurs pour voler des crypto-monnaies
Il semble que les personnes inscrites aient immédiatement expulsé les typosquats de leurs plateformes avant qu’ils ne puissent nuire aux développeurs.
Il y a eu plusieurs mises à jour et améliorations de la sécurité au cours des dernières années. De nouvelles fonctionnalités comme les outils de configuration de Python et l’utilisation de l’authentification à deux facteurs pour les projets critiques ont été introduites pour empêcher les hackers de s’introduire dans les serveurs. Cependant, la guerre contre les acteurs de menaces devient chaque jour plus difficile.
La semaine dernière, la société de sécurité logicielle Checkmarx a déclaré avoir découvert une poignée de paquets Python malveillants utilisés pour mener des attaques DDoS sur les serveurs Counter-Strike.
Au début du mois, la société de cybersécurité CheckPoint a découvert 10 paquets PyPI malveillants qui volent les informations d’identification des développeurs.
Les paquets ont été utilisés pour infecter les systèmes des développeurs avec un logiciel malveillant de vol de mot de passe. Les faux paquets utilisaient le typosquattage pour usurper l’identité de projets logiciels populaires et inciter les utilisateurs de PyPI à les télécharger.
Le même mois, une autre entreprise de cybersécurité, ReversingLabs, a révélé une attaque de la chaîne d’approvisionnement appelée IconBurst, qui exploitait le typosquattage pour infecter les développeurs.