Plusieurs paquets Python malveillants contenant des scripts de ransomware ont été identifiés

Avec des noms tels que "requesys", "requesrs" et "requesr"

Plusieurs paquets Python malveillants contenant des scripts de ransomware ont été identifiés, avec des noms tels que "requesys", "requesrs" et "requesr"

Les chercheurs de Sonatype ont identifié plusieurs paquets Python malveillants contenant des scripts de ransomware. Les paquets sont nommés d'après une bibliothèque légitime et largement connue appelée "Requests", avec des noms tels que "requesys", "requesrs" et "requesr", afin d'inciter les développeurs à installer la mauvaise version.

Ax Sharma, chercheur principal en sécurité chez Sonatype, écrit sur le blog de l'entreprise : "Bien que les cas d'infiltration de logiciels malveillants dans des dépôts de logiciels libres ne soient pas surprenants, comme nous l'avons vu à plusieurs reprises, il n'est pas fréquent que des paquets de logiciels libres contiennent des ransomwares. La dernière fois que nous avons vu cela, c'était en 2021, lorsque nous avons repéré des typosquats npm lançant le ransomware MBRLocker."

L'analyse montre que les versions du paquet "requesys" contiennent des scripts qui parcourent les dossiers d'un utilisateur Windows, tels que Documents, Téléchargements et Images, et commencent à crypter les fichiers.

Ce qui est intéressant, c'est qu'une fois le chiffrement effectué, un message s'affiche et dirige la victime vers le serveur Discord de l'auteur du malware, où une clé de déchiffrement est disponible gratuitement. La motivation du malware n'est donc pas très claire.

Les recherches montrent que le paquet "requesys" a été téléchargé plus de 250 fois, bien que le canal Discord ne montre que 15 messages avec des clés de chiffrement.


Autre particularité, le script malveillant ne s'exécute que si le nom d'utilisateur de votre PC Windows n'est pas " GIAMI ", ce qui suggère qu'il s'agit du nom du système de l'auteur du malware.

Sonatype a contacté l'auteur de 'requesys' - qui semble être un étudiant italien - via Discord et a été informé que le script est "complètement open source" et fait partie d'un "projet que j'ai développé pour le plaisir", ajoutant "J'ai été surpris de voir à quel point il était facile de 'créer' cet exploit et à quel point il était intéressant".

Le paquet "requesys" a depuis été renommé pour éviter que d'autres personnes en soient victimes.

Source : Sonatype

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La bibliothèque npm populaire "coa" est détournée pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait également compromis

Le ransomware "Hive" chiffre désormais les systèmes Linux et FreeBSD, mais cette variante du ransomware est encore boguée et ne fonctionne pas toujours

Microsoft tire la sonnette d'alarme sur un botnet Linux, le fabriquant de Windows dit avoir observé une augmentation de 254 % de l'activité d'un cheval de Troie Linux appelé XorDdos