LEBIGDATA.FR I.A, Cloud & Cybersécurité
On a récemment découvert des malwares dans certains packages Python. Les programmes malveillants auraient réussi à s'infiltrer dans le référentiel package Index PyPi.
Selon les constatations, l'infection entre dans le cadre d'une campagne en cours visant la chaîne d'approvisionnement en logiciels malveillants, connue sous le nom de VMConnect. Il existe des indications laissant penser que des acteurs soutenus par l'État nord-coréen pourraient être impliqués dans cette campagne.
Des malwares difficiles à identifier ont réussi à infiltrer les packages PyPi
La campagne VMConnect, qui a été divulguée pour la première fois en début de mois par ReversingLabs et Sonatype, se compose d'une collection de packages Python. Ces ensembles de logiciels simulent des utilitaires Python populaires en code source libre. Cela afin de distribuer un logiciel malveillant de second niveau, mais sont spécifiquement conçus pour paraître authentiques.
Les acteurs malveillants utilisent des techniques de typosquatting pour tromper les développeurs en usurpant l'identité de packages légitimes tels que “jolies tables” et “requêtes”. Ce qui rend difficile leur détection.
L'une des principales modifications apportées à Tablediter est qu'il ne déclenche pas immédiatement le code malveillant lors de l'installation du package. Cette modification vise à échapper à la détection par les logiciels de sécurité.
Les acteurs malveillants attendent que le package désigné soit importé et que ses fonctions soient appelées par l'application compromise. Ce qui évite une forme courante de détection basée sur le comportement. Cette approche rend la détection plus difficile pour les défenseurs potentiels, comme l'a expliqué le chercheur en sécurité Karlo Zanki.
Quant à Equest-plus et Requestpro, ils permettent de collecter des informations sur la machine infectée et de les transmettre à un serveur de commande et de contrôle (C2).
Après cette étape, le serveur C2 répond en fournissant un jeton. L'hôte infecté le renvoie ensuite à une URL différente sur le même serveur. En retour, il reçoit un module Python à double encodage et une URL de téléchargement. On soupçonne que le module décodé télécharge la prochaine étape du malware à partir de l'URL fournie.
Le rôle de la Corée du Nord dans cette affaire
L'emploi d'une stratégie basée sur des jetons pour contourner les mécanismes de détection rappelle une campagne antérieure révélée par Phylum en juin. Une approche qui a été liée à des acteurs nord-coréens. GitHub, une filiale de Microsoft, a attribué ces attaques à un groupe malveillant qu'ils ont baptisé Jade Sleet, également connu sous les pseudonymes TraderTraitor ouUNC4899.
TraderTraitor est une arme cybernétique majeure de la Corée du Nord, utilisée dans ses activités de piratage à buts lucratifs. Cette entité a une longue histoire de ciblage de sociétés de crypto-monnaies et d'autres secteurs dans le but de réaliser des gains financiers.
On pourrait donc confirmer les liens entre la Corée du Nord et les malwares présents dans les packages PyPI de Python. De plus, ReversingLabs a découvert un package Python nommé py_QRcode qui présente des fonctionnalités malveillantes très semblables à celles trouvées dans le package VMConnect.
Il s'avère que py_QRcode aurait servi de point de départ à une chaîne d'attaques distinctes. C'est à dire une chaîne visant les développeurs d'entreprises spécialisées dans les échanges de crypto-monnaies.
Même Linux est vulnérable à ce malware Python
Ce malware Python est capable de s'exécuter sur les environnements Windows, macOS et Linux. L'agence a indiqué que cet acteur vérifie les données du système d'exploitation. Il adapte également le processus d'infection en fonction de ces informations. Cette caractéristique est décrite comme étant unique, car cet acteur cible l'environnement des développeurs en utilisant diverses plates-formes.
Un autre élément remarquable est que les attaques dirigées vers les systèmes macOS ont conduit au déploiement de JokerSpy. Autrement dit une nouvelle porte dérobée qui a fait son apparition pour la première fois en juin 2023.
À l'époque, Phil Stokes avait remarqué que les intrusions associées à JokerSpy mettaient en lumière un acteur malveillant redoutable. C'est-à-dire un figurant capable de développer des logiciels malveillants fonctionnels dans divers langages. Dont Python, Java et Swift. Par ailleurs, il s'agit d'un acteur qui a la capacité de cibler plusieurs plates-formes de systèmes d'exploitation.
Zanki a souligné que cette attaque n'était qu'un exemple supplémentaire de la menace constante visant les utilisateurs du référentiel PyPI. Il a également ajouté que les acteurs malveillants continuent d'exploiter le Python Package Index (PyPI) comme vecteur de distribution pour leurs logiciels malveillants.
Restez à la pointe de l'information avec LEBIGDATA.FR !
Abonnez-vous à notre chaîne YouTube et rejoignez-nous sur Google Actualités pour garder une longueur d'avance.
- Partager l'article :
