L’Index des packages Python (PyPI) a temporairement suspendu l’enregistrement des utilisateurs et la création de nouveaux projets pour faire face à une campagne de logiciels malveillants en cours.
PyPI est un index pour les projets Python qui aide les développeurs à trouver et à installer des packages Python.
Avec des milliers de packages disponibles, le référentiel est une cible attrayante pour les acteurs de la menace, qui téléchargent souvent des packages typosquattés ou faux pour compromettre les développeurs de logiciels et les attaques potentielles de la chaîne d’approvisionnement.
Une telle activité a forcé les administrateurs de PyPI plus tôt aujourd’hui à annoncer que toutes les nouvelles inscriptions d’utilisateurs ont été suspendues pour permettre d’atténuer les activités malveillantes.
Campagne de logiciels malveillants
Un rapport de Checkmarx informe que les acteurs de la menace ont commencé hier à télécharger sur PyPI 365 des packages avec des noms qui imitent des projets légitimes.
Les paquets incluent du code malveillant dans le ‘setup.py ‘ fichier qui s’exécute lors de l’installation, tentant de récupérer une charge utile supplémentaire à partir d’un serveur distant.
Pour échapper à la détection, le code malveillant est crypté à l’aide du module Fernet et l’URL de la ressource distante est construite dynamiquement en cas de besoin.
La charge utile finale est un infostealer doté de capacités de persistance qui cible les données stockées dans les navigateurs Web, telles que les mots de passe de connexion, les cookies et les extensions de crypto-monnaie.
Checkmarx met à disposition dans son rapport la liste complète des entrées malveillantes qu’ils ont trouvées, qui contient de nombreuses variantes de typosquattage pour de nombreux paquets légitimes.
Selon un rapport de Check Point, cependant, la liste des paquets malveillants est supérieure à 500 et ont été déployés en deux étapes. Les chercheurs disent que chaque paquet provient de comptes de mainteneurs uniques avec des noms et des e-mails distincts.
« Notamment, chaque compte de responsable n’a téléchargé qu’un seul package, indiquant l’utilisation de l’automatisation pour orchestrer l’attaque », explique Check Point.
Les chercheurs disent que toutes les entrées avaient le même numéro de version, contenaient le même code malveillant et que les noms semblent générés par un processus de randomisation.
Cet incident souligne l’importance pour les développeurs de logiciels et les mainteneurs de packages d’utiliser des référentiels open source pour vérifier rigoureusement l’authenticité et la sécurité des composants qu’ils utilisent dans leurs projets.
Ce n’est pas la première fois que PyPI prend des mesures aussi agressives pour protéger sa communauté contre les soumissions malveillantes. Les responsables du dépôt ont pris la même mesure l’année dernière, le 20 mai.