Les cybercriminels ont à nouveau réussi à introduire en contrebande quelques packages malveillants dans le Python Package Index (PyPi), exposant à la fois les développeurs Python et les utilisateurs à un risque de vol de données. (s’ouvre dans un nouvel onglet).
Les packages ont été découverts par des chercheurs en cybersécurité de Fortinet, qui ont découvert cinq entités distinctes totalisant un peu plus de 600 téléchargements.
Les packages sont appelés « 3m-promo-gen-api », « Ai-Solver-gen », « hypixel-coins », « httpxrequesterv2 » et « httpxrequester », et semblent avoir été téléchargés le 27 janvier, étant disponibles pour télécharger pendant environ deux jours avant d’être supprimé.
Voler des données sensibles
Les packages ont été conçus pour voler toutes sortes d’informations sensibles, y compris les mots de passe enregistrés dans Chrome, Opera, Edge, Brave et d’autres navigateurs, les cookies d’authentification pour Discord et les données de portefeuille pour les portefeuilles de crypto-monnaie Atomic Wallet et Exodus. En outre, les packages ciblaient un certain nombre de sites Web, à la recherche d’informations sensibles, notamment Coinbase, Gmail, PayPal, eBay et autres.
Les packages recherchent également certains mots-clés liés aux opérations bancaires, aux mots de passe, à l’authentification multifacteur (MFA) et à d’autres informations sensibles. S’ils les trouvaient, ils les voleraient en utilisant le service de transfert de fichiers « transfer.sh ».
Bien que les chercheurs de Fortinet n’aient pas été en mesure de lier les packages malveillants à des voleurs d’informations existants, BipOrdinateur prétend que les attaquants distribuaient en fait le voleur W4SP. Cet infostealer aurait été « fortement abusé » dans les packages PyPI, selon la publication. Certains des mots-clés étaient en français, laissant croire aux chercheurs que les agresseurs étaient d’origine française.
PyPI est sans doute le référentiel de packages Python le plus populaire au monde, hébergeant plus de 200 000 packages que les développeurs peuvent utiliser pour accélérer leur processus de développement. En tant que tel, c’est une cible majeure pour les cybercriminels, et les nouvelles d’infostealers découverts dans les packages Python sont de plus en plus fréquentes.
La plupart du temps, les attaquants usurpaient l’identité d’un paquet légitime, espérant que les développeurs seraient trop distraits, ou paresseux, pour revérifier l’authenticité du code qu’ils saisissent.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)