Se connecter
Inscription
Mot de passe perdu
ESET Research : le référentiel Python officiel, sert de porte dérobée pour cyber-espionnage et rassemble plus de 10 000 téléchargements
Publié le 12/12/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, MONTREAL, le 12 décembre 2023 — ESET Research a découvert un ensemble de projets Python malveillants distribués via PyPI, le référentiel officiel de paquets Python (langage de programmation). La menace cible les systèmes Windows et Linux et propose généralement une porte dérobée personnalisée avec des capacités de cyber-espionnage. Il permet l'exécution de commandes à distance et l'exfiltration de fichiers et parfois des captures d'écran. Parfois, la charge utile finale est une variante du tristement célèbre W4SP Stealer, qui vole des données personnelles et des informations d'identification, ou un simple moniteur presse-papiers qui vole des crypto-monnaies, ou même les deux. ESET a découvert 116 fichiers (distributions sources et roues) dans 53 projets contenant des maliciels. Au cours de l’année écoulée, les victimes ont téléchargé ces fichiers plus de 10 000 fois. Depuis mai 2023, le taux de téléchargement était d’environ 80 par jour.
PyPI est populaire parmi les programmeurs Python pour le partage et le téléchargement de code. Puisque n’importe qui peut contribuer au référentiel, des logiciels malveillants – se faisant parfois passer pour des bibliothèques de codes légitimes et populaires – peuvent apparaître. « Certains noms de paquets malveillants ressemblent à ceux de paquets légitimes, mais nous pensons que la principale façon dont ils sont installés par les victimes potentielles n'est pas le typo-squattage, mais l'ingénierie sociale. Les victimes sont guidées, pour une raison quelconque, par l'exécution de pip pour installer un paquet ‘intéressant’ », explique Marc-Étienne Léveillé, le chercheur d'ESET, qui a découvert et analysé les paquets malveillants.
Lors de la publication de cette recherche, la plupart des paquets avaient déjà été supprimés par PyPI. ESET a contacté PyPI pour prendre des mesures concernant ceux qui restent ; aujourd’hui, tous les paquets malveillants connus ne sont plus en ligne.
ESET a observé les opérateurs derrière cette campagne. Ils utilisent trois techniques pour regrouper le code malveillant dans les paquets Python. La première consiste à placer un module de « test » avec du code légèrement obscurci à l'intérieur du paquet. La deuxième technique consiste à intégrer du code PowerShell dans le fichier setup.py, qui est généralement exécuté automatiquement par les gestionnaires de paquets tels que pip pour faciliter l'installation des projets Python. Dans la troisième technique, les opérateurs ne font aucun effort pour inclure du code légitime dans le paquet, seul le code malveillant est présent, sous une forme légèrement masquée.
Généralement, la charge utile finale est une porte dérobée personnalisée capable d'exécuter des commandes à distance, d'exfiltrer des fichiers et parfois de faire des captures d'écran. Sous Windows, la porte dérobée est implémentée en Python. Sous Linux, c’est le langage de programmation Go qui est utilisé. Parfois, une variante du tristement célèbre W4SP Stealer est utilisée à la place de la porte dérobée, ou un simple moniteur presse-papiers est utilisé pour voler de la crypto-monnaie, ou parfois les deux. Le moniteur presse-papiers cible les crypto-monnaies Bitcoin, Ethereum, Monero et Litecoin.
« Les développeurs Python doivent absolument vérifier le code qu'ils téléchargent avant de l'installer sur leurs systèmes. Nous prévoyons que ces abus de PyPI continueront et nous conseillons d’être très prudent lors de l'installation de code à partir de tout référentiel de logiciels public », conclut Léveillé.
Pour plus d'informations sur les projets Python malveillants en PyPI, consultez le blog “A pernicious potpourri of Python packages in PyPI.” Suivez aussi ESET Research on Twitter (today known as X) pour les dernières nouvelles d’ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
PyPI est populaire parmi les programmeurs Python pour le partage et le téléchargement de code. Puisque n’importe qui peut contribuer au référentiel, des logiciels malveillants – se faisant parfois passer pour des bibliothèques de codes légitimes et populaires – peuvent apparaître. « Certains noms de paquets malveillants ressemblent à ceux de paquets légitimes, mais nous pensons que la principale façon dont ils sont installés par les victimes potentielles n'est pas le typo-squattage, mais l'ingénierie sociale. Les victimes sont guidées, pour une raison quelconque, par l'exécution de pip pour installer un paquet ‘intéressant’ », explique Marc-Étienne Léveillé, le chercheur d'ESET, qui a découvert et analysé les paquets malveillants.
Lors de la publication de cette recherche, la plupart des paquets avaient déjà été supprimés par PyPI. ESET a contacté PyPI pour prendre des mesures concernant ceux qui restent ; aujourd’hui, tous les paquets malveillants connus ne sont plus en ligne.
ESET a observé les opérateurs derrière cette campagne. Ils utilisent trois techniques pour regrouper le code malveillant dans les paquets Python. La première consiste à placer un module de « test » avec du code légèrement obscurci à l'intérieur du paquet. La deuxième technique consiste à intégrer du code PowerShell dans le fichier setup.py, qui est généralement exécuté automatiquement par les gestionnaires de paquets tels que pip pour faciliter l'installation des projets Python. Dans la troisième technique, les opérateurs ne font aucun effort pour inclure du code légitime dans le paquet, seul le code malveillant est présent, sous une forme légèrement masquée.
Généralement, la charge utile finale est une porte dérobée personnalisée capable d'exécuter des commandes à distance, d'exfiltrer des fichiers et parfois de faire des captures d'écran. Sous Windows, la porte dérobée est implémentée en Python. Sous Linux, c’est le langage de programmation Go qui est utilisé. Parfois, une variante du tristement célèbre W4SP Stealer est utilisée à la place de la porte dérobée, ou un simple moniteur presse-papiers est utilisé pour voler de la crypto-monnaie, ou parfois les deux. Le moniteur presse-papiers cible les crypto-monnaies Bitcoin, Ethereum, Monero et Litecoin.
« Les développeurs Python doivent absolument vérifier le code qu'ils téléchargent avant de l'installer sur leurs systèmes. Nous prévoyons que ces abus de PyPI continueront et nous conseillons d’être très prudent lors de l'installation de code à partir de tout référentiel de logiciels public », conclut Léveillé.
Pour plus d'informations sur les projets Python malveillants en PyPI, consultez le blog “A pernicious potpourri of Python packages in PyPI.” Suivez aussi ESET Research on Twitter (today known as X) pour les dernières nouvelles d’ESET Research.
A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
24/04/2024 @ 16:21:26
Poster un commentaire
Jeux Vidéos
Android
Droit
