Les développeurs Python sont à nouveau attaqués, les attaquants cherchant à voler les détails du compte Discord ainsi que les données stockées dans divers navigateurs.
Les chercheurs en cybersécurité de Snyk ont récemment repéré une douzaine de packages malveillants, téléchargés sur PyPi, le plus grand référentiel de code Python, avec plus de 600 000 utilisateurs actifs.
Les packages ont été téléchargés il y a près d’un mois, par un acteur malveillant appelé « scarycoder ». Ils prétendent fournir aux utilisateurs diverses fonctionnalités, outils Roblox, gestion des threads, etc. Au lieu de cela, les chercheurs ont découvert que tout ce que font les packages est de voler des informations sensibles.
Voler des mots de passe
Différents packages sont capables de voler différentes choses. Certains se concentrent sur les données stockées dans des navigateurs tels que Google Chrome, Chromium, Microsoft Edge, Firefox et Opera. Les données comprennent des mots de passe stockés (s’ouvre dans un nouvel onglet), l’historique du navigateur, les cookies et l’historique des recherches. D’autres installent des portes dérobées directement dans le client Discord, volant des jetons d’authentification, le statut Nitro, des informations de facturation et des données de carte de crédit.
L’un des programmes malveillants attaque Roblox, a-t-on ajouté, en volant les cookies de compte, les identifiants d’utilisateur, le solde Robux et le statut Premium.
Les administrateurs de PyPi sont relativement lents à réagir, indique la publication, ajoutant que ce n’est probablement pas dû à la négligence, mais plutôt au fait que l’ensemble du projet est géré par une poignée de bénévoles qui ne peuvent tout simplement pas suivre un raz-de-marée de téléchargements de logiciels malveillants.
Pourtant, la lenteur de la réponse signifie que de nombreux développeurs Python resteront exposés à divers virus, logiciels malveillants (s’ouvre dans un nouvel onglet)et d’autres formes d’attaques.
Les experts de Spectralops ont récemment trouvé 10 packages malveillants sur la plate-forme PyPi. Tous ceux-ci ont reçu des noms presque identiques aux noms de packages légitimes afin de duper les développeurs pour qu’ils téléchargent et adoptent ceux qui sont entachés. La pratique s’appelle le typosquatting, et c’est assez courant dans la communauté des développeurs.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)