Un package malveillant qui imite le module de connecteur VMware vSphere « vConnector » a été téléchargé sur le Python Package Index (PyPI) sous le nom de « VMConnect », ciblant les professionnels de l’informatique.
VMware vSphere est une suite d’outils de virtualisation et vConnector est un module Python d’interface utilisé par les développeurs et les administrateurs système, téléchargé environ 40 000 par mois via PyPI.
Selon le chercheur de Sonatype et journaliste de Breachtrace, Meguetaoui med amine, le paquet malveillant téléchargé sur PyPI le 28 juillet 2023, a rassemblé 237 téléchargements jusqu’à sa suppression le 1er août 2023.
L’enquête de Sonatype a révélé deux autres packages avec un code identique à « VMConnect », à savoir « etter » et « quantiumbase », téléchargés 253 et 216 fois, respectivement.
Le package « ethter » imite le package légitime « eth-tester », qui compte plus de 70 000 téléchargements mensuels, tandis que « quantiumbase » est un clone du package « bases de données », qui est téléchargé 360 000/mois.
Les trois packages malveillants présentaient les fonctionnalités des projets qu’ils imitaient, ce qui pouvait faire croire aux victimes qu’ils utilisaient des outils légitimes et prolonger la durée d’une infection.
Code VMConnect
Des signes d’intention malveillante dans le code du package sont évidents dans le fichier ‘init.py’ qui contient une chaîne encodée en base 64 qui est décodée et exécutée sur un processus séparé, s’exécutant toutes les minutes pour récupérer des données à partir d’une URL contrôlée par l’attaquant et l’exécuter sur la machine compromise.
L’URL de ces packages est hxxp://45.61.139[.]219/paperpin3902.jpg (dans certaines versions, la variation impliquait le domaine : hxxps://ethertestnet[.]pro/paperpin3902.jpg). Bien que le lien apparaisse comme un fichier image, il sert de code en clair.
Ankita Lamba de Sonatype, qui a dirigé l’analyse du paquet, n’a pas pu récupérer la charge utile de la deuxième étape car elle avait été retirée de la source externe au moment de l’enquête.
Cependant, un paquet contactant secrètement une URL externe et obscure pour récupérer et exécuter une charge utile sur l’hôte est généralement suffisant pour déduire qu’il s’agit d’une opération à haut risque, même si les détails sont inconnus.
Il n’est pas improbable que les attaquants n’exécutent des commandes que sur des hôtes infectés qui semblaient présenter un grand intérêt ou qu’ils utilisent un mécanisme de filtrage IP pour exclure les analystes.
Pour donner le bénéfice du doute à l’auteur des packages, enregistré sous le nom de « hushki502 » sur PyPI et GitHub, Sonatype a contacté le développeur, mais aucune réponse n’a été reçue.
ReversingLabs a repéré la même campagne et a également publié un rapport à ce sujet, tandis que son enquête sur l’acteur de la menace, la charge utile de deuxième étape et le but ultime des attaquants n’était pas non plus concluante.
Comme dernière note de prudence, il est important de souligner que les descriptions que l’auteur des faux packages utilisés sur PyPI étaient exactes et semblaient réalistes, et ils ont même créé des référentiels GitHub avec des noms correspondants.
Cela dit, les développeurs n’auraient pu découvrir l’activité illicite que s’ils avaient remarqué le court historique des projets, le faible nombre de téléchargements, le code caché dans certains fichiers et les noms de packages ressemblant, mais pas exactement à ceux des projets légitimes.