3 paquets malveillants contenant des voleurs d'informations ont été récemment découverts puis supprimés du référentiel PyPI.
Les chercheurs de Fortinet ont trouvé 3 packages téléchargés entre le 0 et le 3 janvier par un utilisateur nommé "LollipXNUMXp". Ces XNUMX sont appelés "colorslib", "httpslib" et "libhttps", et si vous les avez déjà utilisés, assurez-vous de les supprimer immédiatement.
En règle générale, les cybercriminels cherchant à compromettre les terminaux des développeurs Python via PyPI tenteront de commettre des erreurs typographiques en donnant à leurs packages malveillants des noms pratiquement identiques à ceux appartenant à des projets légitimes. De cette façon, les développeurs irresponsables ou pressés peuvent sans le savoir utiliser le malveillant à la place du propre.
Vol de données du navigateur
Cette campagne, cependant, est différente, car ces 3 ont des noms uniques. Pour instaurer la confiance, l'attaquant a écrit des descriptions complètes des packages. Bien que le nombre total de téléchargements pour ces 3 appareils ait à peine dépassé les cinq cents, cela pourrait toujours être intimidant si vous faites partie d'une chaîne d'approvisionnement plus large, selon le post.
Dans les 3 cas, les attaquants distribuent un fichier appelé "setup.py" qui, après avoir exécuté un PowerShell, tente de télécharger l'exécutable "Oxyz.exe" depuis Internet. Selon les chercheurs, cet exécutable est malveillant et vole des informations du navigateur. Nous ne savons pas exactement quel type d'informations le logiciel malveillant cherche à voler (s'ouvre dans un nouvel onglet), mais les voleurs d'informations recherchent généralement des mots de passe enregistrés, des détails de carte de crédit, des portefeuilles, des crypto-monnaies et d'autres informations précieuses.
Le rapport a également révélé que le taux de détection de ces exécutables est quelque peu faible (jusqu'à XNUMX %), ce qui signifie que les attaquants peuvent détourner avec succès des données même à partir de terminaux protégés par des solutions antivirus.
Bien que les packages malveillants aient déjà été supprimés de PyPI, rien n'empêche les attaquants de simplement les télécharger sous un autre nom et depuis un autre compte. Cela étant dit, la meilleure façon de se prémunir contre ce type d'attaque de la chaîne d'approvisionnement est de redoubler de prudence lors du téléchargement de blocs de construction de code à partir de référentiels.
Via : BleepingComputer (s'ouvre dans un nouvel onglet)