Des chercheurs découvrent 3 paquets PyPI diffusant des malwares sur les systèmes des développeurs
Un acteur de la menace du nom de
Lolip0p a téléchargé trois paquets malveillants dans le dépôt Python Package
Index (PyPI), conçus pour déposer des logiciels malveillants sur des systèmes
de développeurs compromis.
Les paquets - nommés colorslib
(versions 4.6.11 et 4.6.12), httpslib (versions 4.6.9 et 4.6.11), et libhttps
(version 4.6.12) - entre le 7 janvier 2023 et le 12 janvier 2023. Ils ont
depuis été retirés de PyPI, mais pas avant d'avoir été téléchargés plus de 550
fois.
Les modules sont accompagnés de
scripts de configuration identiques conçus pour invoquer PowerShell et exécuter
un binaire malveillant ("Oxzy.exe") hébergé sur Dropbox, a révélé
Fortinet dans un rapport publié la semaine dernière.
L'exécutable, une fois lancé,
déclenche la récupération d'une étape suivante, également un binaire nommé
update.exe, qui s'exécute dans le dossier temporaire de Windows
("%USER%\AppData\Local\Temp\").
Le fichier update.exe est signalé
par les éditeurs d'antivirus sur VirusTotal comme un voleur d'informations capable
de déposer d'autres binaires, dont l'un est détecté par Microsoft sous le nom
de Wacatac.
Cette divulgation intervient
quelques semaines après que Fortinet ait découvert deux autres paquets
malveillants du nom de Shaderz et aioconsol, qui offrent des capacités
similaires de collecte et d'exfiltration d'informations personnelles sensibles.
Les utilisateurs sont invités à
faire preuve de prudence lorsqu'il s'agit de télécharger et d'exécuter des
paquets provenant d'auteurs non fiables afin d'éviter d'être la proie
d'attaques de la chaîne d'approvisionnement.