Posté le août 16, 2022 à 6:42
DES HACKERS CIBLENT LES SERVEURS COUNTER-STRIKE À L’AIDE DE PAQUETS MALVEILLANTS PYPI
Un rapport récent a révélé qu’une douzaine de paquets malveillants ont été téléchargés dans le référentiel PyPi après une attaque de typosquattage sur un serveur Counter-Strike 1.6. Le rapport a également révélé que les acteurs de la menace ont utilisé des attaques par déni de service distribué (DDoS) comme stratégie principale. Le Python Package Index (PyPi) est un référentiel de logiciels libres qui permet aux développeurs de l’utiliser facilement pour leurs projets Python afin de concevoir des applications complexes avec peu d’efforts.
Mais le dépôt est ouvert à tout le monde pour télécharger des paquets, et ils ne sont pas retirés sauf s’ils sont signalés comme malveillants. En conséquence, le dépôt a été davantage utilisé par des hackers qui s’en servent pour déployer des logiciels malveillants ou voler les informations d’identification des développeurs.
Des chercheurs ont signalé une campagne de typosquattage malveillante
Les chercheurs de Checkmarx ont signalé qu’un utilisateur portant le pseudonyme « devfather777, a publié 12 paquets qui utilisaient le nom similaire à d’autres paquets populaires pour tromper les développeurs de logiciels et les inciter à utiliser la version malveillante. Ces types de campagnes, appelées attaques de typosquattage, visent les développeurs qui sont induits à utiliser un paquet malveillant en pensant qu’il s’agit du paquet authentique. Ils sont généralement conçus pour ressembler à un paquet légitime. Par exemple, certains des paquets et leurs équivalents légitimes dans la campagne incluent address, TensorFlow et Gesnim.
Comme les développeurs de logiciels obtiennent généralement les paquets à partir du terminal, il est plus facile de taper son nom avec une lettre dans le mauvais ordre. De plus, la victime ne s’en rend pas compte et continue d’infecter son appareil puisque le téléchargement et la construction se poursuivent comme prévu.
Le logiciel malveillant peut injecter un certificat racine expiré dans tout le système
À l’heure où nous écrivons ces lignes, les paquets sont toujours là, bien qu’ils aient été signalés par CheckMarx. Après avoir téléchargé et utilisé l’un des paquets Python malveillants dans son application, le code intégré tente de savoir si l’hôte est un système Windows. Après avoir vérifié l’identité et confirmé qu’il s’agit bien d’un système Windows, il télécharge une charge utile depuis GitHub. VirusTotal a été utilisé pour analyser le code, et il a été découvert que sur 69 moteurs antivirus, seuls 11 d’entre eux marquent le fichier comme malveillant. Cela signifie qu’il s’agit de logiciels malveillants relativement récents écrits en C++.
Le logiciel malveillant s’installe automatiquement et crée une entrée au démarrage pour persister entre les redémarrages du système. En outre, il est capable d’injecter des certificats racine expirés dans tout le système.
Enfin, il reçoit sa configuration en se connectant à des URL codées en dur. Il essaie jusqu’à ce qu’il réussisse. Mais après le troisième essai, il envoie des requêtes aux adresses de l’algorithme de génération de domaine (DGA) et attend une réponse.
Le dépôt GitHub a été supprimé, mais la menace persiste
Dans un récent article, Checkmarx a noté que c’est la première fois qu’une souche de logiciel malveillant a été vue dans l’écosystème de la chaîne d’approvisionnement des logiciels utilisant UGA pour donner des identités pour de nouvelles instructions pour une campagne malveillante.
Comme l’a observé l’équipe, la configuration a permis au logiciel malveillant d’envoyer l’hôte dans un bot DDoS qui a commencé à envoyer du trafic vers un serveur Russe Counter-Strike 1.6. D’après les activités du logiciel malveillant, l’objectif semble être de supprimer le serveur Counter-Strike en implantant un logiciel malveillant dans plusieurs appareils qui finissent par submerger le serveur. Il est ainsi plus facile pour les acteurs de la menace de commencer leurs activités malveillantes et de prendre le contrôle des serveurs.
Le rapport indique également que le dépôt GitHub utilisé pour héberger le logiciel malveillant a été supprimé. Cependant, la menace n’est pas encore terminée. Les hackers ou les mauvais acteurs peuvent relancer la campagne malveillante en abusant de différents services d’hébergement de fichiers. Par conséquent, les utilisateurs ont été avertis de renforcer leur système de sécurité pour faire face à toute réapparition ou nouvelle cible des hackers.
Il n’y a aucune garantie qu’un paquet soit totalement sûr
Les utilisateurs qui utilisent les 12 paquets mentionnés sont les plus exposés au risque d’être ciblés et infectés. L’équipe de sécurité a conseillé à ceux qui utilisent ces logiciels et qui ont pu faire une erreur de frappe de vérifier et d’examiner leurs projets et de s’assurer qu’ils utilisent le bon logiciel.
Les personnes qui ont téléchargé l’un des paquets sont invitées à se considérer comme compromises. Dans ce cas, elles doivent prendre les mesures adéquates pour limiter l’impact de la violation.
Dans plusieurs cas, ces menaces préparent le terrain pour une éventuelle attaque de la chaîne d’approvisionnement, car le système des développeurs peut parfois être le point d’infection initial. En outre, les chercheurs en sécurité ont averti qu’aucun paquet de la PyPI ne peut être considéré comme garanti en matière de sécurité. Et comme les utilisateurs sont responsables de la supervision et du contrôle de la légitimité de ces contenus, il est impossible qu’un paquet puisse prétendre être hautement sécurisé.
