Plusieurs packages Python malveillants laissant fuir des informations utilisateur sensibles ont été découverts par des experts en sécurité.
Dans un article de blog (s’ouvre dans un nouvel onglet)Ax Sharma, chercheur en sécurité chez Sonatype, explique que les packages : loglib-modules, pyg-modules, pygrata, pygrata-utils et hkg-sol-utils exfiltraient les secrets des utilisateurs, tels que les informations d’identification AWS et les variables d’environnement, et les téléchargeaient sur un site public. point final exposé (s’ouvre dans un nouvel onglet).
Certains, comme leur nom l’indique, ciblaient des développeurs familiarisés avec les bibliothèques loglib et pyg, tandis que d’autres avaient des cibles inconnues.
Attaquants inconnus
Nous ne savons pas exactement combien de personnes ont vu leurs données exposées (s’ouvre dans un nouvel onglet)bien que Sharma ait déclaré que les chercheurs avaient trouvé « des centaines de fichiers TXT contenant des informations sensibles et des secrets ».
Pour exclure la possibilité qu’une équipe de sécurité fasse des recherches, Sonatype a contacté les propriétaires de pygrata[.]com mais jamais entendu parler. Peu de temps après, le point final qui fuyait les fichiers TXT a expiré, ce qui a fait penser aux chercheurs que quelqu’un devait l’avoir arrêté. De plus, loglib-modules a été rapidement retiré du Web, bien que brièvement.
Sonatype n’a pas réussi à découvrir qui est l’acteur menaçant derrière l’attaque, ni quel était son objectif ultime.
« Les informations d’identification volées ont-elles été intentionnellement exposées sur le Web (s’ouvre dans un nouvel onglet) ou une conséquence de mauvaises pratiques d’opsec ? », demande Sharma. « S’il s’agit d’une sorte de test de sécurité légitime, il n’y a sûrement pas beaucoup d’informations à l’heure actuelle pour exclure la nature suspecte de cette activité. »
Peu de temps après avoir signalé tous les packages problématiques à l’équipe de sécurité de PyPI, ils ont tous été supprimés, a conclu la société.
De temps en temps, les chercheurs découvrent des packages malveillants sur des référentiels open source. Plus tôt cette année, les chercheurs ont découvert deux packages Python et PHP (ctx et phpass), qui fonctionnaient essentiellement comme des chevaux de Troie. Il a été découvert plus tard qu’un chercheur en sécurité turc, Yunus Aydin, était à l’origine des deux packages, comme une démonstration de « comment cette simple attaque affecte +10 millions d’utilisateurs et d’entreprises ».