Les chercheurs en cybersécurité de Checkmarx ont découvert plus de deux douzaines de packages malveillants sur PyPI, un référentiel populaire pour les développeurs Python, et ont publié leurs conclusions dans un nouveau rapport (s’ouvre dans un nouvel onglet).
Ces packages malveillants, conçus pour ressembler presque aux packages légitimes, tentent d’inciter les développeurs imprudents à télécharger et à installer le mauvais, distribuant ainsi des logiciels malveillants.
Cette pratique est connue sous le nom de typosquattage et est très populaire parmi les cybercriminels qui attaquent les développeurs de logiciels.
Vols d’infostealers
Pour masquer le logiciel malveillant, les attaquants utilisent deux approches uniques : la stéganographie et le polymorphisme.
La stéganographie est la pratique consistant à cacher du code à l’intérieur d’une image, ce qui permet aux pirates de diffuser du code malveillant via des fichiers .JPG et .PNG apparemment innocents.
Les logiciels malveillants polymorphes, quant à eux, modifient la charge utile à chaque installation, évitant ainsi avec succès les programmes antivirus et autres solutions de cybersécurité.
Ici, les attaquants ont utilisé ces techniques pour fournir WASP, un voleur d’informations capable de saisir les comptes Discord, les mots de passe, les informations de portefeuille de crypto-monnaie, les données de carte de crédit, ainsi que toute autre information sur le terminal de la victime jugée intéressante.
Une fois identifiées, les données sont renvoyées aux attaquants via une adresse webhook Discord codée en dur.
La campagne semble être un coup marketing, car apparemment les chercheurs ont repéré les acteurs de la menace faisant la publicité de l’outil sur le dark web pour 20 $ et affirmant qu’il est indétectable.
De plus, les chercheurs pensent qu’il s’agit du même groupe qui était à l’origine d’une attaque similaire signalée pour la première fois au début du mois par des chercheurs de Phylum. (s’ouvre dans un nouvel onglet) et point de contrôle (s’ouvre dans un nouvel onglet). À l’époque, on disait qu’un groupe surnommé Worok distribuait DropBoxControl, un voleur d’informations .NET C# personnalisé qui abuse de l’hébergement de fichiers Dropbox pour la communication et le vol de données, depuis au moins septembre 2022.
Compte tenu de sa boîte à outils, les chercheurs pensent que Worok est l’œuvre d’un groupe de cyberespionnage qui travaille discrètement, aime se déplacer latéralement sur les réseaux cibles et voler des données sensibles. Il semble également utiliser ses propres outils propriétaires, car les chercheurs ne les ont pas observés utilisés par quelqu’un d’autre.
Passant par: Le registre (s’ouvre dans un nouvel onglet)