Un acteur menaçant du nom de Lolip0p a téléchargé trois packages malveillants dans le référentiel Python Package Index (PyPI) qui sont conçus pour déposer des logiciels malveillants sur les systèmes de développement compromis.
Les packages – nommés colorslib (versions 4.6.11 et 4.6.12), httpslib (versions 4.6.9 et 4.6.11) et libhttps (version 4.6.12) – par l’auteur entre le 7 janvier 2023 et le 12 janvier, 2023. Ils ont depuis été retirés de PyPI, mais pas avant d’avoir été téléchargés plus de 550 fois.
Les modules sont livrés avec des scripts de configuration identiques conçus pour invoquer PowerShell et exécuter un binaire malveillant (« Oxzy.exe ») hébergé sur Dropbox, a révélé Fortinet dans un rapport publié la semaine dernière.
L’exécutable, une fois lancé, déclenche la récupération d’une étape suivante, également un binaire nommé update.exe, qui s’exécute dans le dossier temporaire de Windows (« %USER%\AppData\Local\Temp\ »).
update.exe est signalé par les éditeurs d’antivirus sur VirusTotal comme un voleur d’informations qui est également capable de supprimer des fichiers binaires supplémentaires, dont l’un est détecté par Microsoft sous le nom de Wacatac.
Le fabricant de Windows décrit le cheval de Troie comme une menace qui « peut effectuer un certain nombre d’actions au choix d’un pirate malveillant sur votre PC », y compris la diffusion de ransomwares et d’autres charges utiles.
« L’auteur positionne également chaque package comme légitime et propre en incluant une description de projet convaincante », a déclaré Jin Lee, chercheur chez Fortinet FortiGuard Labs. « Cependant, ces packages téléchargent et exécutent un exécutable binaire malveillant. »
La divulgation arrive des semaines après que Fortinet a déterré deux autres paquets voyous sous les noms de Shaderz et aioconsol qui hébergent des capacités similaires pour collecter et exfiltrer des informations personnelles sensibles.
Les résultats démontrent une fois de plus le flux constant d’activités malveillantes enregistrées dans les référentiels de packages open source populaires, dans lesquels les acteurs de la menace profitent des relations de confiance pour planter du code contaminé afin d’amplifier et d’étendre la portée des infections.
Les utilisateurs sont invités à faire preuve de prudence lorsqu’il s’agit de télécharger et d’exécuter des packages d’auteurs non fiables afin d’éviter de devenir la proie d’attaques de la chaîne d’approvisionnement.