Python, le langage de programmation préféré par de nombreux développeurs, est au cœur d’une menace grandissante. Des centaines de packages Python malveillants ont été découverts en train de voler des données sensibles, créant une préoccupation majeure au sein de la communauté open source.
La montée des packages malveillants Python
Depuis six mois, une campagne malveillante s’intensifie et, par conséquent, elle a introduit sur les plateformes open source des packages destinés au vol d’informations. Face à cela, le bilan est alarmant puisqu’on dénombre environ 75 000 téléchargements.
D’ailleurs, Checkmarx, une équipe de sécurité, surveille attentivement cette campagne depuis avril. Suite à leurs investigations, ils ont identifié 272 packages Python malveillants. Ces paquets renferment un code redoutable qui, en fin de compte, siphonne des informations précieuses des systèmes qu’il cible.
Cette attaque ne cesse d’évoluer. Les créateurs utilisent des techniques de camouflage et d’évasion de plus en plus pointues. Par exemple, un fichier nommé “_init_py” se lance après une vérification spécifique. Sa mission ? Cibler de multiples informations. Il surveille les antivirus, vole des mots de passe Wi-Fi, des identifiants, et même des données de crypto-monnaies. Même les jeux comme Minecraft et Roblox sont visés.
Mais ce n’est pas tout. Le logiciel malveillant prend des captures d’écran. Il dérobe aussi des fichiers des systèmes compromis. Les analystes révèlent une estimation choquante : cette campagne a dérobé près de 100 000 dollars en crypto-monnaie.
Manipulation des applications et évolution de la menace
Outre le vol d’informations, le malware va encore plus loin. Il manipule les données des applications, causant ainsi plus de dommages. Pour illustrer, dans l’application Exodus, il remplace l’archive électronique. Sur Discord, il injecte un code JavaScript. De plus, il se sert d’un script PowerShell pour entraver les produits de sécurité.
Les chercheurs ont remarqué une évolution inquiétante. Avant, le code malveillant était visible. Mais en mai, un chiffrement a été introduit. En août, un obscurcissement multicouche apparaissait. Yahuda Gelb de Checkmarx indique que certains packages utilisaient jusqu’à 70 couches d’obscurcissement.
Et en août, la menace s’est accentuée. Les développeurs malveillants ont ajouté de nouvelles cibles, comme Telegram. Ils ont même mis en place un système d’exfiltration de données de secours.
Les chercheurs sonnent l’alarme. Les communautés open source restent vulnérables aux attaques. Les acteurs malveillants déposent quotidiennement des packages malveillants sur des plateformes comme GitHub, PyPi et NPM. La prudence est donc de mise. Il est essentiel d’examiner les projets et les éditeurs de packages. Et surtout, rester vigilant face aux noms de packages trompeurs.
- Partager l'article :