Quatre packages escrocs différents dans le Python Package Index (PyPI) ont été trouvés pour effectuer un certain nombre d’actions malveillantes, y compris la suppression de logiciels malveillants, la suppression de l’utilitaire netstat et la manipulation du fichier SSH authorized_keys.
Les packages en question sont aptx, bingchilling2, httops et tkint3rs, qui ont tous été téléchargés collectivement environ 450 fois avant d’être supprimés. Alors qu’aptx est une tentative d’imiter le codec audio très populaire de Qualcomm du même nom, httops et tkint3rs sont respectivement des typosquats de https et tkinter.
« La plupart de ces paquets avaient des noms bien pensés, pour confondre délibérément les gens », a déclaré le chercheur en sécurité et journaliste Ax Sharma.
Une analyse du code malveillant injecté dans le script de configuration révèle la présence d’une charge utile Meterpreter obscurcie déguisée en « pip », un installateur de package légitime pour Python, et qui peut être exploitée pour obtenir un accès shell à l’hôte infecté.
Des étapes sont également entreprises pour supprimer l’utilitaire de ligne de commande netstat utilisé pour surveiller la configuration et l’activité du réseau, ainsi que pour modifier le fichier .ssh/authorized_keys afin de configurer une porte dérobée SSH pour l’accès à distance.
« Maintenant, c’est un exemple élégant mais réel de malware nuisible qui a réussi à se frayer un chemin dans l’écosystème open source », a noté Sharma.
Mais dans un signe que les logiciels malveillants se faufilant dans les référentiels de logiciels sont une menace récurrente, Fortinet FortiGuard Labs a découvert cinq packages Python différents – web3-essential, 3m-promo-gen-api, ai-solver-gen, hypixel-coins, httpxrequesterv2 et httpxrequester – qui sont conçus pour récolter et exfiltrer des informations sensibles.
Les révélations surviennent alors que ReversingLabs fait la lumière sur un module npm malveillant appelé aabquerys qui se fait passer pour le package abquery légitime dans le but d’inciter les développeurs à le télécharger.
Le code JavaScript obscurci, pour sa part, est livré avec des capacités pour récupérer un exécutable de deuxième étape à partir d’un serveur distant, qui, à son tour, contient un binaire proxy Avast (wsc_proxy.exe) qui est connu pour être vulnérable aux attaques de chargement latéral DLL.
- Cela permet à l’auteur de la menace d’invoquer une bibliothèque malveillante conçue pour récupérer un composant de troisième étape, Demon.bin, à partir d’un serveur de commande et de contrôle (C2).
« Demon.bin est un agent malveillant avec des fonctionnalités typiques de RAT (cheval de Troie d’accès à distance) qui a été généré à l’aide d’un cadre de commande et de contrôle open source, post-exploitation, nommé Havoc », a déclaré Lucija Valentić, chercheuse chez ReversingLabs.
De plus, l’auteur d’aabquerys aurait publié plusieurs versions de deux autres packages nommés aabquery et nvm_jquery qui sont soupçonnés d’être les premières itérations d’aabquerys.
Havoc est loin d’être le seul cadre d’exploitation C2 détecté dans la nature, avec des acteurs criminels tirant parti de suites personnalisées telles que Manjusaka, Covenant, Merlin et Empire dans des campagnes de logiciels malveillants.
Les résultats soulignent également le risque croissant de packages malveillants cachés dans des référentiels open source tels que npm et PyPi, ce qui peut avoir un impact important sur la chaîne d’approvisionnement des logiciels.