Des logiciels malveillants très invasifs ciblant les développeurs de logiciels circulent à nouveau dans des bibliothèques de codes troyens, les plus récents ayant été téléchargés des milliers de fois au cours des huit derniers mois, ont indiqué des chercheurs mercredi.Depuis janvier, huit outils de développement distincts contiennent des payloads cachées dotées de diverses capacités malveillantes, a indiqué la société de sécurité Checkmarx. Le plus récent a été publié le mois dernier sous le nom de "pyobfgood". Comme les sept paquets qui l'ont précédé, pyobfgood se présente comme un outil d'obscurcissement légitime que les développeurs peuvent utiliser pour empêcher la rétro-ingénierie et la falsification de leur code. Une fois exécuté, il installait une payload, donnant à l'attaquant le contrôle presque total de la machine du développeur.
Dans le domaine du développement de logiciels, les outils et les paquets open source jouent un rôle essentiel dans la simplification des tâches et l'accélération des processus de développement. Cependant, à mesure que la communauté grandit, le nombre d'acteurs malveillants cherchant à l'exploiter augmente également. Un exemple récent est celui des développeurs ciblés par des paquets d'obscurcissement Python apparemment légitimes, mais qui abritent des codes malveillants.
Yehuda Gelb, un chercheur en sécurité chez Checkmarx vient de publier les résultats de ses recherches sur les paquets d'obscurcissement Python. Voici les points clés de sa recherche :
- Tout au long de l'année 2023, des attaquants ont distribué des paquets Python malveillants déguisés en outils d'obscurcissement légitimes.
- La payload malveillante s'active dès l'installation.
- Appelé "BlazeStealer", il récupère un script malveillant supplémentaire à partir d'une source externe, activant un bot Discord qui permet aux attaquants de prendre le contrôle total de l'ordinateur de la victime.
- Les développeurs qui s'adonnent à l'obscurcissement du code travaillent probablement avec des informations précieuses et sensibles. Par conséquent, les pirates les considèrent comme des cibles précieuses à poursuivre et sont donc susceptibles d'être les victimes visées par cette attaque.
Tout au long de l'année et jusqu'au mois dernier, les pirates ont introduit divers paquets dont les noms commençaient par "pyobf", notamment "pyobftoexe", "pyobfusfile", "pyobfexecute", pour n'en citer que quelques-uns, et plus récemment, "pyobfgood". Ces paquets, qui se présentent à première vue comme des outils utiles pour l'obscurcissement du code Python, ont des intentions cachées. Ces noms, choisis par les attaquants, ont été intentionnellement conçus pour ressembler à d'authentiques paquets tels que "pyobf2" et "pyobfuscator", que les développeurs utilisent pour obscurcir leur code Python.
pyobfgood, le paquet le plus récent de ce type, et celui dont nous parlerons dans ce blog, a été publié fin octobre 2023 dans l'écosystème Python, apportant avec lui une charge utile destructrice.
Un examen plus approfondi du paquet pyobfgood a révélé les éléments suivants : Les fichiers setup.py et init.py du paquet contiennent un script activé lors de l'installation du paquet, qui reçoit et exécute du code provenant d'une source externe :
Ils l'appellent - BlazeStealer
L'examen du code Python récupéré a permis de faire plusieurs observations.
Ce logiciel malveillant, nommé "BlazeStealer", exécute un bot Discord avec l'identifiant unique suivant : "MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo"
Une fois activé, ce bot donne à l'attaquant le contrôle total du système de la cible, ce qui lui permet d'effectuer une myriade d'actions nuisibles sur la machine de la victime. Il peut notamment
- Exfiltrer des informations détaillées sur l'hôte
- voler des mots de passe dans le navigateur web Chrome
- installer un enregistreur de frappe
- télécharger des fichiers à partir du système de la victime
- faire des captures d'écran et enregistrer l'écran et le son
- Rendre l'ordinateur inopérant en augmentant l'utilisation du processeur, en insérant un script batch dans le répertoire de démarrage pour éteindre l'ordinateur ou en provoquant une erreur BSOD avec un script Python.
- chiffrer des fichiers, éventuellement contre une rançon
- Désactiver Windows Defender et le gestionnaire des tâches
- Exécuter n'importe quelle commande sur l'hôte compromis
Sourire à l'appareil photo 🙂 Votre paquetage open-source vous prend en photo
Le bot Discord inclut une commande spécifique pour contrôler la caméra de l'ordinateur. Pour ce faire, il télécharge discrètement un fichier zip à partir d'un serveur distant, en extrait le contenu et exécute une application appelée WebCamImageSave.exe. Cette application permet au robot de prendre secrètement une photo à l'aide de la webcam. L'image obtenue est ensuite renvoyée sur le canal Discord, sans laisser de trace de sa présence après avoir supprimé les fichiers téléchargés.
Parmi ces fonctions malveillantes, l'humour malveillant du bot apparaît dans des messages qui tournent en dérision la destruction imminente de la machine compromise. "Votre ordinateur va commencer à brûler, bonne chance.
" et "Votre ordinateur va mourir maintenant, bonne chance pour le récupérer "Mais au moins, il y a un smiley à la fin de ces messages. Ces messages soulignent non seulement l'intention malveillante, mais aussi l'audace des attaquants.
Les cibles de ces attaques
Qui sont les cibles de ces attaques ? Pourquoi les ciblent-ils ?
Il va de soi que les développeurs qui s'adonnent à l'obscurcissement du code manipulent probablement des informations précieuses et sensibles, ce qui, pour un pirate informatique, en fait une cible digne d'intérêt.
Répartition en pourcentage du nombre total de téléchargements du paquet malveillant par pays
Conclusion
Le domaine des logiciels libres reste un terrain fertile pour l'innovation, mais il faut être prudent. Les développeurs doivent rester vigilants et vérifier les paquets avant de les consommer.
Dans le cadre de la solution Checkmarx Supply Chain Security, notre équipe de recherche surveille en permanence les activités suspectes dans l'écosystème des logiciels libres. Nous suivons et signalons les "signaux" qui peuvent indiquer un jeu déloyal et alertons rapidement nos clients pour les aider à se protéger.
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi :
Une poignée de paquets contenant du code malveillant a été téléchargée 30 000 fois sur PyPI et près de la moitié des paquets sur PyPI ont au moins un problème de sécurité, annoncent des chercheurs 25 bibliothèques JavaScript malveillantes distribuées via le référentiel de packages NPM officiel, les chercheurs attribuent ce travail à des « auteurs novices de logiciels malveillants » Des hackers ont inondé NPM avec de faux packages, provoquant une attaque DoS qui a rendu NPM instable, selon un rapport de Checkmarx qui note une explosion de packages publiés en mars 
