Des logiciels malveillants hautement invasifs ciblant les développeurs de logiciels circulent à nouveau dans les bibliothèques de codes troyens, les derniers étant téléchargés des milliers de fois au cours des huit derniers mois, ont indiqué des chercheurs mercredi.
Depuis janvier, huit outils de développement distincts contiennent des charges utiles cachées dotées de diverses capacités néfastes, a rapporté la société de sécurité Checkmarx. Le plus récent est sorti le mois dernier sous le nom de «pyobfgood». Comme les sept packages qui l’ont précédé, pyobfgood se présentait comme un outil d’obscurcissement légitime que les développeurs pouvaient utiliser pour dissuader l’ingénierie inverse et la falsification de leur code. Une fois exécuté, il installait une charge utile, donnant à l’attaquant un contrôle presque complet de la machine du développeur. Les capacités incluent :
Exfiltrer les informations détaillées sur l’hôte
Voler les mots de passe du navigateur Web Chrome
Configurer un enregistreur de frappe
Télécharger des fichiers depuis le système de la victime
Capturez des captures d’écran et enregistrez l’écran et l’audio
Rendre l’ordinateur inopérant en augmentant l’utilisation du processeur, en insérant un script batch dans le répertoire de démarrage pour arrêter le PC ou en forçant une erreur BSOD avec un script Python
Chiffrer les fichiers, potentiellement contre une rançon
Désactivez Windows Defender et le Gestionnaire des tâches
Exécutez n’importe quelle commande sur l’hôte compromis
Au total, pyobfgood et les sept outils précédents ont été installés 2 348 fois. Ils ciblaient les développeurs utilisant le langage de programmation Python. En tant qu’obscurcisseurs, les outils ciblaient les développeurs Python avec des raisons de garder leur code secret car il contenait des capacités cachées, des secrets commerciaux ou des fonctions autrement sensibles. Les charges utiles malveillantes variaient d’un outil à l’autre, mais elles étaient toutes remarquables par leur niveau d’intrusion.
« Les différents packages que nous avons examinés présentent une série de comportements malveillants, dont certains ressemblent à ceux trouvés dans le package ‘pyobfgood' », a écrit Yehuda Gelb, chercheur en sécurité chez Checkmarx, dans un e-mail. « Cependant, leurs fonctionnalités ne sont pas tout à fait identiques. Beaucoup partagent des similitudes, comme la possibilité de télécharger des logiciels malveillants supplémentaires à partir d’une source externe et de voler des données. »
Les huit outils utilisaient la chaîne « pyobf » comme cinq premiers caractères dans le but d’imiter de véritables outils d’obscurcissement tels que pyobf2 et pyobfuscator. Les sept autres packages étaient :
Pyobftoexe
Fichier Pyobfus
Pyobfexécuter
Pyobfpremium
Vol Pyob
Pyobfadvance
Pyobfuse
Alors que Checkmarx se concentrait principalement sur pyobfgood, la société a fourni un calendrier de sortie pour chacun d’entre eux.
Agrandir / Une chronologie montrant la sortie des huit outils d’obscurcissement malveillants.
Checkmarx
Pyobfgood a installé une fonctionnalité de bot qui fonctionnait avec un serveur Discord identifié par la chaîne :
Il n’y avait aucune indication d’un problème sur l’ordinateur infecté. Cependant, dans les coulisses, la charge utile malveillante non seulement s’immisçait dans certains des moments les plus privés du développeur, mais se moquait en même temps silencieusement du développeur dans les commentaires du code source. Checkmarx a expliqué :
Le bot Discord comprend une commande spécifique pour contrôler la caméra de l’ordinateur. Il y parvient en téléchargeant discrètement un fichier zip depuis un serveur distant, en extrayant son contenu et en exécutant une application appelée WebCamImageSave.exe. Cela permet au bot de capturer secrètement une photo à l’aide de la webcam. L’image résultante est ensuite renvoyée sur la chaîne Discord, sans laisser aucune trace de sa présence après suppression des fichiers téléchargés.
Agrandir / Un affichage de divers commentaires a laissé le code source. Parmi eux, « arrêter d’écouter de la musique de fond pour [incomplete] »
Checkmarx
Parmi ces fonctions malveillantes, l’humour malicieux du bot transparaît à travers des messages ridiculisant la destruction imminente de la machine compromise. « Votre ordinateur va commencer à brûler, bonne chance. 🙂 » et « Votre ordinateur va mourir maintenant, bonne chance pour le récupérer 🙂 »
Mais bon, il y a au moins un smiley à la fin de ces messages.
Ces messages mettent non seulement en évidence l’intention malveillante mais aussi l’audace des attaquants.
Agrandir / Plus de code source avec commentaires.
Checkmarx
Agrandir / Plus de commentaires sur le code source.
Checkmarx
Les téléchargements du package provenaient principalement des États-Unis (62 %), suivis de la Chine (12 %) et de la Russie (6 %). « Il va de soi que les développeurs engagés dans l’obscurcissement du code traitent probablement des informations précieuses et sensibles, et par conséquent, pour un pirate informatique, cela se traduit par une cible qui mérite d’être poursuivie », ont écrit les chercheurs de Checkmarx.
Ce n’est en aucun cas la première fois qu’un malware est détecté dans un logiciel open source qui imite les noms de packages authentiques. L’un des premiers cas documentés s’est produit en 2016, lorsqu’un étudiant a téléchargé des scripts sommaires sur RubyGems, PyPi et NPM, qui sont des sites Web communautaires pour les développeurs des langages de programmation Python, Ruby et JavaScript, respectivement. Une fonctionnalité de téléphone dans les scripts de l’étudiant a montré que le code imposteur était exécuté plus de 45 000 fois sur plus de 17 000 domaines distincts, et que plus de la moitié du temps, son code recevait des droits administratifs tout-puissants. Deux des domaines concernés se terminaient par .mil, ce qui indique que des personnes au sein de l’armée américaine avaient exécuté son script. Peu de temps après que cette preuve de concept ait démontré l’efficacité du stratagème, des attaquants réels ont adopté la technique dans une série de soumissions open source malveillantes qui se poursuivent encore aujourd’hui. Le flux incessant d’attaques devrait servir d’avertissement, soulignant l’importance d’examiner attentivement un package avant de l’autoriser à s’exécuter.
Les personnes qui souhaitent vérifier si elles ont été ciblées peuvent rechercher sur leurs machines la présence de l’un des huit noms d’outils, la chaîne unique du serveur Discord et les URL hxxps.[:]//transfert[.]sh/get/wDK3Q8WOA9/début[.]py et hxxps[:]//www[.]Nirsoft[.]net/utils/webcamimagesave.zip.
