Un package Python malveillant ciblant les développeurs Discord avec un cheval de Troie d’accès à distance (RAT) a été repéré sur le Python Package Index (PyPI) après plus de trois ans.
Nommé « discordpydebug », le package se faisait passer pour un utilitaire d’enregistrement d’erreurs pour les développeurs travaillant sur des robots Discord et a été téléchargé plus de 11 000 fois depuis son téléchargement le 21 mars 2022, même s’il n’a ni description ni documentation.
La société de cybersécurité Socket, qui l’a repéré pour la première fois, affirme que le logiciel malveillant pourrait être utilisé pour pirater les systèmes des développeurs Discord et fournir aux attaquants des capacités de vol de données et d’exécution de code à distance.
« Le package ciblait les développeurs qui construisent ou maintiennent des robots Discord, généralement des développeurs indépendants, des ingénieurs en automatisation ou de petites équipes qui pourraient installer de tels outils sans un examen approfondi », ont déclaré les chercheurs de Socket.
« Étant donné que PyPI n’applique pas d’audits de sécurité approfondis des packages téléchargés, les attaquants en profitent souvent en utilisant des descriptions trompeuses, des noms à consonance légitime ou même en copiant du code de projets populaires pour paraître dignes de confiance. »
Une fois installé, le package malveillant transforme l’appareil en un système contrôlé à distance qui exécutera les instructions envoyées par un serveur de commande et de contrôle (C2) contrôlé par un attaquant.
Les attaquants pourraient utiliser le logiciel malveillant pour obtenir un accès non autorisé aux informations d’identification et plus encore (jetons, clés et fichiers de configuration, par exemple), voler des données et surveiller l’activité du système sans être détectés, exécuter à distance du code pour déployer d’autres charges utiles de logiciels malveillants et obtenir des informations.qui peut les aider à se déplacer latéralement au sein du réseau.
Bien que le logiciel malveillant ne dispose pas de mécanismes de persistance ou d’élévation de privilèges, il utilise une interrogation HTTP sortante au lieu de connexions entrantes, ce qui permet de contourner les pare-feu et les logiciels de sécurité, en particulier dans les environnements de développement faiblement contrôlés.
Une fois installé, le package se connecte silencieusement à un serveur de commande et de contrôle (C2) contrôlé par un attaquant (protection arrière.jamesx123.rempl[.] co), en envoyant une requête POST avec une valeur « name » pour ajouter l’hôte infecté à l’infrastructure des attaquants.
Le logiciel malveillant inclut également des fonctions permettant de lire et d’écrire dans des fichiers sur la machine hôte à l’aide d’opérations JSON lorsqu’elles sont déclenchées par des mots clés spécifiques du serveur C2, offrant aux acteurs de la menace une visibilité sur les données sensibles.
Pour atténuer le risque d’installation de logiciels malveillants backdoor à partir de référentiels de code en ligne, les développeurs de logiciels doivent s’assurer que les packages qu’ils téléchargent et installent proviennent de l’auteur officiel avant l’installation, en particulier pour les plus populaires, afin d’éviter le typosquattage.
De plus, lorsqu’ils utilisent des bibliothèques open source, ils doivent examiner le code à la recherche de fonctions suspectes ou obscurcies et envisager d’utiliser des outils de sécurité pour détecter et bloquer les packages malveillants.