Les escrocs ont trompé les responsables du package PyPI Python en leur faisant donner leurs identifiants de connexion, puis ont utilisé les mots de passe pour se connecter et entacher les packages avec des logiciels malveillants, ont affirmé des experts.
La nouvelle a été confirmée par Adam Johnson, membre du conseil d’administration du projet Django, après avoir été lui-même attaqué, avec des « centaines » de paquets affectés.
Selon le rapport, un acteur inconnu de la menace a envoyé des e-mails de phishing aux mainteneurs de packages, affirmant qu’ils devaient se «valider» eux-mêmes, sinon leurs packages seraient supprimés de la plate-forme. Johnson a déclaré que cliquer sur le lien dans l’e-mail envoyait les cibles vers un site de phishing « assez convaincant ».
Des centaines de colis contaminés
Certains mainteneurs sont tombés dans le panneau, indique le rapport, donnant leurs identifiants de connexion aux fraudeurs. Ils ont utilisé ces informations pour détourner « plusieurs centaines » de packages, qui ont ensuite été supprimés de la plate-forme, a-t-il été confirmé. Parmi les choses malveillantes que fait le code, il y a l’exfiltration du point de terminaison (s’ouvre dans un nouvel onglet)nom de l’ordinateur au domaine linkedopports[.]com et télécharger un cheval de Troie.
« Nous examinons activement les rapports sur les nouvelles versions malveillantes et nous nous assurons qu’elles sont supprimées et que les comptes du responsable sont restaurés », déclare PyPI. « Nous nous efforçons également de fournir des fonctionnalités de sécurité telles que 2FA plus répandues dans les projets sur PyPI. »
PyPI, le plus grand référentiel de code Python au monde, avec plus de 600 000 utilisateurs actifs, a récemment fait l’objet d’un déluge d’attaques. Il y a moins d’un mois, les chercheurs ont trouvé près d’une douzaine de paquets malveillants, tous des « typosquats ». Le typosquatting est une technique de distribution de logiciels malveillants dans laquelle le package malveillant a un nom presque identique à celui authentique, ne portant qu’une petite « faute de frappe », qui pourrait inciter les développeurs à télécharger et à utiliser celui-ci, au lieu de l’authentique.
Pas plus tard que la semaine dernière, une autre douzaine de paquets malveillants ont été découverts, dont le but était de voler (s’ouvre dans un nouvel onglet) données sensibles stockées dans les navigateurs, installer des portes dérobées dans le client Discord, voler des jetons d’authentification et des données de paiement.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)