Les auteurs de menaces ont téléchargé des packages Python malveillants dans le référentiel PyPI et les ont promus via la plate-forme de questions et réponses en ligne StackExchange.

Les packages sont nommés ‘spl-types’, ‘raydium’, ‘sol-structs’, ‘sol-instruct’ et ‘raydium-sdk’ et téléchargent des scripts qui volent des données sensibles du navigateur, des applications de messagerie (Telegram, Signal, Session), et les détails du portefeuille de crypto-monnaie (Exodus, Electrum, Monero).

Le malware voleur d’informations peut également exfiltrer des fichiers avec des mots clés spécifiques ainsi que prendre des captures d’écran et envoyer toutes les données à un canal Telegram.

Des chercheurs de la société de test de sécurité des applications Checkmarx affirment que les packages ont été téléchargés sur PyPI le 25 juin, mais ont reçu le composant malveillant dans une mise à jour le 3 juillet.

Les paquets ne sont plus sur PyPI ils ont déjà été téléchargés 2082 fois.

Aperçu de l’attaque

Abuser de l’échange de piles
Selon l’enquête de Checkmarx, les attaquants ciblaient spécifiquement les utilisateurs impliqués dans les projets de blockchain Raydium et Solana.

Le fait que Raydium ne dispose pas d’une bibliothèque Python a créé une opportunité d’exploitation pour les attaquants, qui ont utilisé le nom de leur package sans avoir à recourir au typosquattage ou à d’autres techniques de tromperie.

Pour promouvoir les packages auprès des bonnes cibles, les attaquants ont créé des comptes sur StackExchange et laissé des commentaires sous des fils populaires contenant des liens vers les packages malveillants.

Les sujets choisis étaient liés aux noms des paquets, et les réponses données étaient de haute qualité, de sorte que les victimes pourraient être tentées de télécharger les paquets dangereux.

Publication d’un acteur menaçant sur StackExchange

Avec plus de deux mille infections potentielles, il est difficile d’estimer l’impact de cette campagne, mais les chercheurs de Checkmarx ont présenté quelques exemples de victimes dans leur rapport.

Un cas concerne un employé informatique dont le portefeuille de crypto-monnaie Solana a été vidé à la suite de l’infection.

Dans le deuxième exemple, le logiciel malveillant a capturé une capture d’écran de la clé privée de la victime, qui peut être utilisée pour contourner les protections MFA et détourner des comptes même sans le mot de passe.

Notamment, cette capture d’écran montre que les analyses de protection contre les virus et les menaces Windows n’ont pas réussi à détecter la menace en cours d’exécution sur l’appareil de la victime.

Capture d’écran de l’appareil de la victime

Cette tactique a été utilisée dans le passé. Un cas similaire a été signalé par Sonatype en mai 2024 et impliquait la promotion de packages Python malveillants sur PyPI via des réponses StackOverflow.

La plupart des développeurs de logiciels sont des personnes utiles, prêtes à concocter un script ou à en indiquer un qui peut faciliter les choses. Cependant, l’utilisation d’un script provenant d’une plate-forme légitime ne suffit pas car l’auteur doit également être digne de confiance.

Même ainsi, inspecter le code avant de l’utiliser est le meilleur moyen de s’assurer qu’il n’a pas été modifié ultérieurement à des fins malveillantes, comme cela s’est produit dans la campagne décrite par Checkmarx.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *