Sept packages PyPI malveillants ont été trouvés utilisant les serveurs SMTP et les WebSockets de Gmail pour l’exfiltration de données et l’exécution de commandes à distance.
Les paquets ont été découverts par l’équipe de recherche sur les menaces de Socket, qui a signalé ses découvertes au PyPI, ce qui a entraîné la suppression des paquets.
Cependant, certains de ces packages étaient sur PyPI depuis plus de quatre ans, et sur la base de compteurs de téléchargement tiers, l’un d’eux a été téléchargé plus de 18 000 fois.
Voici la liste complète partagée par Socket:
- Coffin-Codes-Pro (9 000 téléchargements)
- Cercueil-Codes-NET2 (6 200 téléchargements)
- Cercueil-Codes-NET (6 100 téléchargements)
- Cercueil-Codes-2022 (18 100 téléchargements)
- Coffin2022 (6 500 téléchargements)
- Cercueil-Tombe (6 500 téléchargements)
- cfc-bsb (2 900 téléchargements)
Les paquets’ Coffin ‘ semblent usurper l’identité du paquet Coffin légitime qui sert d’adaptateur léger pour intégrer des modèles Jinja2 dans des projets Django.
Le socket de fonctionnalité malveillant découvert dans ces packages est centré sur l’accès à distance secret et l’exfiltration de données via Gmail.
Les packages utilisaient des informations d’identification Gmail codées en dur pour se connecter au serveur SMTP du service (smpt.gmail.com), envoyant des informations de reconnaissance pour permettre à l’attaquant d’accéder à distance au système compromis.
Gmail étant un service de confiance, il est peu probable que les pare-feu et les EDR signalent cette activité comme suspecte.
Après l’étape de signalisation par courrier électronique, l’implant se connecte à un serveur distant à l’aide de WebSocket via SSL, recevant des instructions de configuration de tunnel pour établir un tunnel bidirectionnel persistant, crypté, de l’hôte à l’attaquant.
À l’aide d’une classe « Client », le logiciel malveillant transmet le trafic de l’hôte distant au système local via le tunnel, permettant l’accès au panneau d’administration interne et à l’API, le transfert de fichiers, l’exfiltration d’e-mails, l’exécution de commandes shell, la récolte des informations d’identification et le mouvement latéral.
Socket met en évidence des indicateurs forts d’intention potentielle de vol de crypto-monnaie pour ces packages, visibles dans les adresses e-mail utilisées (par exemple, [email protected]) et des tactiques similaires ayant été utilisées dans le passé pour voler des clés privées Solana.
Si vous avez installé l’un de ces packages dans votre environnement, supprimez-les immédiatement et faites pivoter les clés et les informations d’identification selon vos besoins.
Un rapport connexe publié presque simultanément par le chercheur de Sonatype et collègue journaliste de Breachtrace, Ax Sharma, se concentre sur un package de vol de crypto nommé « crypto-encrypt-ts », trouvé dans npm.
Le package se fait passer pour une version dactylographiée de la bibliothèque populaire mais désormais non maintenue « CryptoJS » tout en exfiltrant les secrets du portefeuille de crypto-monnaie et les variables d’environnement vers un meilleur point de terminaison de pile contrôlé par les acteurs de la menace.
Le paquet malveillant, qui persiste sur les systèmes infectés via des tâches cron, ne cible que les portefeuilles dont les soldes dépassent 1 000 unités, tentant d’arracher leurs clés privées.
Le package a été téléchargé près de 2 000 fois avant d’être signalé et supprimé de npm.