Les chercheurs en sécurité ont découvert un autre malware (s’ouvre dans un nouvel onglet) Paquet PyPI, dont le but est de voler les données sensibles des personnes et de permettre aux utilisateurs non authentifiés d’accéder au point de terminaison compromis.
Le package, appelé « colorfool », était manifestement malveillant, ont-ils déclaré. Il contenait un fichier Python « d’une taille suspecte » dont la seule tâche consistait à télécharger un autre fichier sur Internet et à l’exécuter, tout en s’assurant qu’il restait caché à l’utilisateur de l’appareil.
« La fonction a donc immédiatement semblé suspecte et probablement malveillante », indique le rapport.
Code « Emprunter »
Pour aggraver les choses, ce n’était même pas la seule chose suspecte dans ce dossier. L’URL à partir de laquelle le package doit télécharger la charge utile était codée en dur, ce qui est un autre drapeau rouge.
Le script Python – code.py – comportait des fonctions de vol d’informations, telles que l’enregistrement de frappe et l’exfiltration de cookies. En outre, il était capable de voler des mots de passe, de tuer des applications, de saisir des captures d’écran, de voler des données de portefeuille crypto et même d’utiliser la webcam de l’appareil.
Ce qui rend ce package différent de tous les autres packages PyPI malveillants que les chercheurs en sécurité découvrent presque quotidiennement, c’est sa nature de type Frankenstein. Le code a été assemblé à partir de parties du travail d’autres personnes, parfois sans tenir compte de la logique, du flux de code ou de quoi que ce soit d’autre, suggèrent les chercheurs. Comme si l’auteur copiait et collait simplement des parties du code, laissant souvent l’excès de code simplement là.
« La combinaison de l’obscurcissement et du code malveillant flagrant indique qu’il est peu probable que tout le code ait été développé par une seule entité », ont déclaré les chercheurs. « Il est possible que le développeur final ait principalement utilisé le code d’autres personnes, en l’ajoutant par copier-coller. »
En fait, le code porte même le jeu « Snake » qui ne semble pas servir à un but particulier.
Pour les chercheurs, il s’agit d’un exemple parfait de la « démocratisation de la cybercriminalité », où les acteurs de la menace peuvent simplement prendre le code d’autres acteurs de la menace et l’intégrer dans leur travail.
Via : Le Registre (s’ouvre dans un nouvel onglet)