Les acteurs de la menace utilisent le typosquatting pour attaquer les développeurs Python (s’ouvre dans un nouvel onglet) avec des logiciels malveillants, ont affirmé des chercheurs.
Les experts de Spectralops.io ont récemment analysé PyPI, un référentiel de logiciels pour les programmeurs Python, et ont trouvé dix packages malveillants sur la plate-forme. Tous ceux-ci ont reçu des noms presque identiques aux noms de packages légitimes afin de duper les développeurs pour qu’ils téléchargent et adoptent ceux qui sont entachés.
Ce type d’attaque est appelé typosquatting et est courant chez les cybercriminels. Il n’est pas utilisé uniquement sur les référentiels de code (bien que nous ayons vu de nombreux exemples sur GitHub, par exemple, dans le passé), mais aussi dans les e-mails de phishing, les faux sites Web et le vol d’identité.
Des milliers de développeurs menacés
Si les victimes adoptaient ces packages, elles donneraient aux acteurs de la menace les clés de leurs royaumes, étant donné que le logiciel malveillant permet le vol de données privées, ainsi que le vol d’informations d’identification de développeur. Les attaquants enverraient alors les données à un tiers, les victimes ne sachant jamais ce qui s’était passé. À ce jour, rappelle Spectralops, PyPi compte plus de 600 000 utilisateurs actifs, ce qui suggère que le paysage des menaces est assez vaste.
« Ces attaques reposent sur le fait que le processus d’installation de Python peut inclure des extraits de code arbitraires, qui sont un endroit où les joueurs malveillants peuvent placer leur code malveillant », a expliqué Ori Abramovsky, Data Science Lead chez Spectralops.io. « Nous l’avons découvert à l’aide de modèles d’apprentissage automatique qui analysent le code de ces packages et alertent automatiquement les malveillants. »
Voici la liste complète des packages concernés :
- Ascii2text
- Pyg-utils, Pymocks et PyProto2
- Test-asynchrone
- Free-net-vpn et Free-net-vpn2
- ZlibsrcName
- Navigateurdiv,
- WINRPCexpoit
Les chercheurs ont contacté PyPI qui, peu de temps après, a supprimé les packages malveillants de son référentiel. Néanmoins, les développeurs qui les ont téléchargés dans le passé sont toujours à risque et doivent actualiser leurs mots de passe et autres identifiants de connexion, juste au cas où.
« Ce qui est remarquable ici, c’est à quel point ces packages malveillants sont courants », a poursuivi Abramovsky. « Ils sont simples, mais dangereux. Personnellement, une fois que j’ai rencontré ces types d’attaques, j’ai commencé à revérifier chaque package Python que j’utilise. Parfois, je le télécharge même et j’observe manuellement son code avant de l’installer.