
Les chercheurs en cybersécurité ont découvert 29 packages dans Python Package Index (PyPI), le référentiel de logiciels tiers officiel pour le langage de programmation Python, qui visent à infecter les machines des développeurs avec un malware appelé W4SP Stealer. « L’attaque principale semble avoir commencé vers le 12 octobre 2022, prenant lentement de l’ampleur vers un effort concentré vers le 22 octobre », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels Phylum dans un rapport publié cette semaine. La liste des packages incriminés est la suivante : typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte , pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color et pyhints. Collectivement, les packages ont été téléchargés plus de 5 700 fois, certaines bibliothèques (par exemple, twyne et colorsama) s’appuyant sur le typosquattage pour inciter les utilisateurs peu méfiants à les télécharger. Les modules frauduleux réutilisent les bibliothèques légitimes existantes en insérant une déclaration d’importation malveillante dans le script « setup.py » des packages pour lancer un morceau de code Python qui récupère le logiciel malveillant à partir d’un serveur distant. W4SP Stealer, un cheval de Troie open source basé sur Python, est doté de capacités pour voler des fichiers d’intérêt, des mots de passe, des cookies de navigateur, des métadonnées système, des jetons Discord, ainsi que des données provenant des portefeuilles cryptographiques MetaMask, Atomic et Exodus. Ce n’est pas la première fois que W4SP Stealer est livré via des packages apparemment bénins dans le référentiel PyPI. En août, Kaspersky a découvert deux bibliothèques nommées pyquest et ultrarequests qui se sont avérées déployer le malware en tant que charge utile finale. Les résultats illustrent l’abus continu des écosystèmes open source pour propager des packages malveillants conçus pour récolter des informations sensibles et faire place aux attaques de la chaîne d’approvisionnement. « Comme il s’agit d’une attaque en cours avec des tactiques en constante évolution d’un attaquant déterminé, nous soupçonnons de voir apparaître davantage de logiciels malveillants comme celui-ci dans un avenir proche »