
Ax Sharma, chercheur principal en sécurité chez Sonatype, écrit sur le blog de l'entreprise : "Bien que les cas d'infiltration de logiciels malveillants dans des dépôts de logiciels libres ne soient pas surprenants, comme nous l'avons vu à plusieurs reprises, il n'est pas fréquent que des paquets de logiciels libres contiennent des ransomwares. La dernière fois que nous avons vu cela, c'était en 2021, lorsque nous avons repéré des typosquats npm lançant le ransomware MBRLocker."
L'analyse montre que les versions du paquet "requesys" contiennent des scripts qui parcourent les dossiers d'un utilisateur Windows, tels que Documents, Téléchargements et Images, et commencent à crypter les fichiers.
Ce qui est intéressant, c'est qu'une fois le chiffrement effectué, un message s'affiche et dirige la victime vers le serveur Discord de l'auteur du malware, où une clé de déchiffrement est disponible gratuitement. La motivation du malware n'est donc pas très claire.
Les recherches montrent que le paquet "requesys" a été téléchargé plus de 250 fois, bien que le canal Discord ne montre que 15 messages avec des clés de chiffrement.
Autre particularité, le script malveillant ne s'exécute que si le nom d'utilisateur de votre PC Windows n'est pas " GIAMI ", ce qui suggère qu'il s'agit du nom du système de l'auteur du malware.
Sonatype a contacté l'auteur de 'requesys' - qui semble être un étudiant italien - via Discord et a été informé que le script est "complètement open source" et fait partie d'un "projet que j'ai développé pour le plaisir", ajoutant "J'ai été surpris de voir à quel point il était facile de 'créer' cet exploit et à quel point il était intéressant".
Le paquet "requesys" a depuis été renommé pour éviter que d'autres personnes en soient victimes.
Source : Sonatype
Et vous ?

Voir aussi :


