Les chercheurs en cybersécurité de Phylum ont découvert une nouvelle forme de malware dans un package PyPI qui utilisait Unicode pour se cacher.
Unicode est une norme de codage mondiale utilisée pour différentes langues et écritures, couvrant plus de 100 000 caractères, dont l’objectif est de simplifier et de rationaliser la façon dont les caractères sont visualisés dans les appareils électroniques et numériques. Avec Unicode, chaque lettre, chiffre et symbole obtient une valeur numérique unique, qui reste la même, quel que soit le programme ou la plate-forme utilisée.
Le malware s’appelle « onyxproxy », c’est un voleur d’informations à la recherche d’identifiants de connexion de développeur et de jetons d’authentification. Il était disponible sur PyPI pendant une semaine, avant d’être fermé, et pendant ce temps, il a réussi à obtenir 183 téléchargements, ce qui signifie que jusqu’à 183 développeurs différents sont à risque de vol d’informations d’identification et d’identité.
Cachant à la vue
Le logiciel malveillant contient un package appelé « setup.py » qui, selon les chercheurs, contient des « milliers » de chaînes de code suspectes qui utilisent une combinaison de caractères Unicode.
Observés en surface, les personnages semblent normaux et bénins – cependant, ce que l’œil humain voit et ce que le programme voit sont deux choses très différentes.
Dans onyxproxy, il existe trois identifiants critiques : « __import__ », « subprocees » et « CryptoUnprotectData ». Ceux-ci ont un grand nombre de variantes, ce qui les rend idéaux pour battre les défenses basées sur la correspondance des cordes, expliquent les chercheurs.
Bien que la technique puisse sembler compliquée, les chercheurs affirment qu’elle n’est pas exactement sophistiquée. Cependant, si l’abus d’Unicode pour cacher Python malveillant (s’ouvre dans un nouvel onglet) code devient une tendance, cela pourrait devenir une source de préoccupation.
« Mais, la personne à qui cet auteur a copié ce code obscurci est assez intelligente pour savoir comment utiliser les composants internes de l’interpréteur Python pour générer un nouveau type de code obscurci, un type qui est quelque peu lisible sans trop divulguer exactement ce qu’est le code. essayer de voler », conclut Phylum.
- Voici les meilleurs outils de suppression de logiciels malveillants en ce moment
Via : BleepingComputer (s’ouvre dans un nouvel onglet)