samedi, décembre 21, 2024

Les acteurs derrière l’attaque de la chaîne d’approvisionnement PyPI sont actifs depuis fin 2021

Le référentiel logiciel officiel pour le langage Python, Index des packages Python (PyPI)a été la cible d’une attaque complexe de la chaîne d’approvisionnement qui semble avoir empoisonné avec succès au moins deux projets légitimes avec des logiciels malveillants de vol d’informations d’identification, ont déclaré des chercheurs jeudi.

Fonctionnaires de l’IPyP dit la semaine dernière que les contributeurs du projet faisaient l’objet d’une attaque de phishing qui tentait de les inciter à divulguer les identifiants de connexion de leur compte. En cas de succès, les hameçonneurs ont utilisé les informations d’identification compromises pour publier des logiciels malveillants qui se faisaient passer pour la dernière version de projets légitimes associés au compte. PyPI a rapidement supprimé les mises à jour compromises et a exhorté tous les contributeurs à utiliser des formes d’authentification à deux facteurs résistantes au phishing pour mieux protéger leurs comptes.

Jeudi, des chercheurs des sociétés de sécurité SentinelOne et Checkmarx ont déclaré que les attaques de la chaîne d’approvisionnement faisaient partie d’une campagne plus large menée par un groupe actif depuis au moins la fin de l’année dernière pour diffuser des logiciels malveillants de vol d’informations d’identification que les chercheurs surnomment JuiceStealer. Initialement, JuiceStealer s’est propagé grâce à une technique connue sous le nom de typosquatting, dans laquelle les acteurs de la menace ont ensemencé PyPI avec des centaines de packages qui ressemblaient étroitement aux noms de packages bien établis, dans l’espoir que certains utilisateurs les installeraient accidentellement.

JuiceStealer a été découvert sur VirusTotal en février lorsque quelqu’un, peut-être l’auteur de la menace, a soumis une application Python qui a installé subrepticement le malware. JuiceStealer est développé en utilisant le framework de programmation .Net. Il recherche les mots de passe stockés par Google Chrome. Sur la base des informations glanées dans le code, les chercheurs ont lié le malware à une activité qui a commencé fin 2021 et a évolué depuis lors. Une connexion probable est à Nowblox, un site Web frauduleux qui prétendait offrir gratuitement Robux, la monnaie en ligne du jeu. Roblox.

Au fil du temps, l’acteur de la menace, que les chercheurs appellent JuiceLedger, a commencé à utiliser des applications frauduleuses sur le thème de la cryptographie telles que le bot Tesla Trading, qui a été livré dans des fichiers zip accompagnant des logiciels légitimes supplémentaires.

« JuiceLedger semble avoir évolué très rapidement d’infections opportunistes à petite échelle il y a seulement quelques mois à la conduite d’une attaque de la chaîne d’approvisionnement contre un grand distributeur de logiciels », ont écrit les chercheurs dans un article. « L’escalade de la complexité de l’attaque contre les contributeurs de PyPI, impliquant une campagne de phishing ciblée, des centaines de packages typosquattés et des prises de contrôle de comptes de développeurs de confiance, indique que l’acteur de la menace a du temps et des ressources à sa disposition. »

PyPI a commencé à offrir aux contributeurs des clés matérielles gratuites à utiliser pour fournir un deuxième facteur d’authentification non hameçonnable. Tous les contributeurs doivent passer immédiatement à cette forme plus forte de 2FA. Les personnes qui téléchargent des packages à partir de PyPI ou de tout autre référentiel open source doivent prendre des précautions supplémentaires pour s’assurer que le logiciel qu’ils téléchargent est légitime.

Source-147

- Advertisement -

Latest