Les développeurs Python et JavaScript ciblés par de faux paquets délivrant des ransomwares
Les chercheurs en sécurité de
Phylum ont signalé qu'un acteur menaçant typosquattait des paquets PyPI
populaires (paquets mal
conçus) pour diriger les développeurs Python et JavaScript vers des
dépendances malveillantes contenant du code pour télécharger des charges utiles
écrites en Golang (Go).
L'objectif de l'attaque est
d'infecter les victimes avec des variantes de ransomware conçues pour mettre à
jour l’arrière-plan du bureau avec un message se faisant passer pour la CIA et
demandant à la victime d'ouvrir un fichier "readme". Le malware tente
également de chiffrer certains des fichiers de la victime.
Le fichier "readme" est
en fait une note de rançon qui indique à la victime qu'elle doit payer 100
dollars en crypto-monnaie aux attaquants pour recevoir une clé de décryptage.
Phylum a dressé une liste des
paquets visés par la campagne comprenait : dequests, fequests, gequests,
rdquests, reauests, reduests, reeuests, reqhests, reqkests, requesfs, requesta,
requeste, requestw, requfsts, resuests, rewuests, rfquests, rrquests, rwquests,
telnservrr, et tequests.
Peu de temps après la publication
du rapport initial, Phylum l'a mis à jour pour avertir que les paquets NPM
étaient également ciblés dans le cadre de la même campagne.
Les paquets NPM malveillants
identifiés - tels que discordallintsbot, discordselfbot16,
discord-all-intents-bot, discors.jd et telnservrr - contiennent du code
JavaScript qui se comporte de manière similaire au code identifié dans les
paquets Python.
Selon Louis Lang, directeur
technique de Phylum, le nombre de paquets malveillants devrait augmenter. Les
binaires déposés par ces paquets sont identifiés comme des malwares par les
moteurs antivirus de VirusTotal.