Un rapport r\u00e9cent a r\u00e9v\u00e9l\u00e9 qu’une douzaine de paquets malveillants ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s dans le r\u00e9f\u00e9rentiel PyPi apr\u00e8s une attaque de typosquattage sur un serveur Counter-Strike 1.6. Le rapport a \u00e9galement r\u00e9v\u00e9l\u00e9 que les acteurs de la menace ont utilis\u00e9 des attaques par d\u00e9ni de service distribu\u00e9 (DDoS) comme strat\u00e9gie principale. Le Python Package Index (PyPi) est un r\u00e9f\u00e9rentiel de logiciels libres qui permet aux d\u00e9veloppeurs de l’utiliser facilement pour leurs projets Python afin de concevoir des applications complexes avec peu d’efforts.<\/p>\n\n\n\n
Mais le d\u00e9p\u00f4t est ouvert \u00e0 tout le monde pour t\u00e9l\u00e9charger des paquets, et ils ne sont pas retir\u00e9s sauf s’ils sont signal\u00e9s comme malveillants. En cons\u00e9quence, le d\u00e9p\u00f4t a \u00e9t\u00e9 davantage utilis\u00e9 par des hackers qui s’en servent pour d\u00e9ployer des logiciels malveillants ou voler les informations d’identification des d\u00e9veloppeurs.<\/p>\n\n\n\n
Des chercheurs ont signal\u00e9 une campagne de typosquattage malveillante<\/strong><\/p>\n\n\n\n Les chercheurs de Checkmarx ont signal\u00e9 qu’un utilisateur portant le pseudonyme \u00ab\u00a0devfather777, a publi\u00e9 12 paquets qui utilisaient le nom similaire \u00e0 d’autres paquets populaires pour tromper les d\u00e9veloppeurs de logiciels et les inciter \u00e0 utiliser la version malveillante. Ces types de campagnes, appel\u00e9es attaques de typosquattage, visent les d\u00e9veloppeurs qui sont induits \u00e0 utiliser un paquet malveillant en pensant qu’il s’agit du paquet authentique. Ils sont g\u00e9n\u00e9ralement con\u00e7us pour ressembler \u00e0 un paquet l\u00e9gitime. Par exemple, certains des paquets et leurs \u00e9quivalents l\u00e9gitimes dans la campagne incluent address, TensorFlow et Gesnim.<\/p>\n\n\n\n Comme les d\u00e9veloppeurs de logiciels obtiennent g\u00e9n\u00e9ralement les paquets \u00e0 partir du terminal, il est plus facile de taper son nom avec une lettre dans le mauvais ordre. De plus, la victime ne s’en rend pas compte et continue d’infecter son appareil puisque le t\u00e9l\u00e9chargement et la construction se poursuivent comme pr\u00e9vu.<\/p>\n\n\n\n Le logiciel malveillant peut injecter un certificat racine expir\u00e9 dans tout le syst\u00e8me<\/strong><\/p>\n\n\n\n \u00c0 l’heure o\u00f9 nous \u00e9crivons ces lignes, les paquets sont toujours l\u00e0, bien qu’ils aient \u00e9t\u00e9 signal\u00e9s par CheckMarx. Apr\u00e8s avoir t\u00e9l\u00e9charg\u00e9 et utilis\u00e9 l’un des paquets Python malveillants dans son application, le code int\u00e9gr\u00e9 tente de savoir si l’h\u00f4te est un syst\u00e8me Windows. Apr\u00e8s avoir v\u00e9rifi\u00e9 l’identit\u00e9 et confirm\u00e9 qu’il s’agit bien d’un syst\u00e8me Windows, il t\u00e9l\u00e9charge une charge utile depuis GitHub. VirusTotal a \u00e9t\u00e9 utilis\u00e9 pour analyser le code, et il a \u00e9t\u00e9 d\u00e9couvert que sur 69 moteurs antivirus, seuls 11 d’entre eux marquent le fichier comme malveillant. Cela signifie qu’il s’agit de logiciels malveillants relativement r\u00e9cents \u00e9crits en C++.<\/p>\n\n\n\n Le logiciel malveillant s’installe automatiquement et cr\u00e9e une entr\u00e9e au d\u00e9marrage pour persister entre les red\u00e9marrages du syst\u00e8me. En outre, il est capable d’injecter des certificats racine expir\u00e9s dans tout le syst\u00e8me.<\/p>\n\n\n\n Enfin, il re\u00e7oit sa configuration en se connectant \u00e0 des URL cod\u00e9es en dur. Il essaie jusqu’\u00e0 ce qu’il r\u00e9ussisse. Mais apr\u00e8s le troisi\u00e8me essai, il envoie des requ\u00eates aux adresses de l’algorithme de g\u00e9n\u00e9ration de domaine (DGA) et attend une r\u00e9ponse.<\/p>\n\n\n\n Le d\u00e9p\u00f4t GitHub a \u00e9t\u00e9 supprim\u00e9, mais la menace persiste<\/strong><\/p>\n\n\n\n Dans un r\u00e9cent article, Checkmarx a not\u00e9 que c’est la premi\u00e8re fois qu’une souche de logiciel malveillant a \u00e9t\u00e9 vue dans l’\u00e9cosyst\u00e8me de la cha\u00eene d’approvisionnement des logiciels utilisant UGA pour donner des identit\u00e9s pour de nouvelles instructions pour une campagne malveillante.<\/p>\n\n\n\n Comme l’a observ\u00e9 l’\u00e9quipe, la configuration a permis au logiciel malveillant d’envoyer l’h\u00f4te dans un bot DDoS qui a commenc\u00e9 \u00e0 envoyer du trafic vers un serveur Russe Counter-Strike 1.6. D’apr\u00e8s les activit\u00e9s du logiciel malveillant, l’objectif semble \u00eatre de supprimer le serveur Counter-Strike en implantant un logiciel malveillant dans plusieurs appareils qui finissent par submerger le serveur. Il est ainsi plus facile pour les acteurs de la menace de commencer leurs activit\u00e9s malveillantes et de prendre le contr\u00f4le des serveurs.<\/p>\n\n\n\n Le rapport indique \u00e9galement que le d\u00e9p\u00f4t GitHub utilis\u00e9 pour h\u00e9berger le logiciel malveillant a \u00e9t\u00e9 supprim\u00e9. Cependant, la menace n’est pas encore termin\u00e9e. Les hackers ou les mauvais acteurs peuvent relancer la campagne malveillante en abusant de diff\u00e9rents services d’h\u00e9bergement de fichiers. Par cons\u00e9quent, les utilisateurs ont \u00e9t\u00e9 avertis de renforcer leur syst\u00e8me de s\u00e9curit\u00e9 pour faire face \u00e0 toute r\u00e9apparition ou nouvelle cible des hackers.<\/p>\n\n\n\n