Une attaque en cours de la chaîne d’approvisionnement a exploité des packages Python malveillants pour distribuer un logiciel malveillant appelé W4SP Stealer, avec plus de centaines de victimes prises au piège à ce jour. « L’acteur de la menace est toujours actif et publie davantage de packages malveillants », a déclaré le chercheur de Checkmarx Jossef Harush dans un article technique, appelant l’adversaire WASP. « L’attaque semble liée à la cybercriminalité car l’attaquant affirme que ces outils sont indétectables pour augmenter les ventes. » Les conclusions de Checkmarx s’appuient sur des rapports récents de Phylum et Check Point, qui ont signalé 30 modules différents publiés sur le Python Package Index (PyPI) qui ont été conçus pour propager du code malveillant sous le couvert de packages d’apparence bénigne. L’attaque n’est que la dernière menace à cibler la chaîne d’approvisionnement des logiciels. Ce qui le rend remarquable, c’est l’utilisation de la stéganographie pour extraire une charge utile de malware polymorphe cachée dans un fichier image hébergé sur Imgur.
L’installation du package fait finalement place à W4SP Stealer (alias WASP Stealer), un voleur d’informations conçu pour exfiltrer les comptes Discord, les mots de passe, les portefeuilles cryptographiques et d’autres fichiers d’intérêt pour un Webhook Discord. L’analyse de Checkmarx a en outre retrouvé le serveur Discord de l’attaquant, qui est géré par un seul utilisateur nommé « Alpha. # 0001 », et les divers faux profils créés sur GitHub pour inciter les développeurs involontaires à télécharger le malware.
De plus, l’opérateur Alpha. # 0001 a été observé faisant la publicité du logiciel malveillant « entièrement indétectable » pour 20 $ sur le canal Discord, sans parler de la publication d’un flux constant de nouveaux packages sous différents noms dès qu’ils sont retirés de PyPI. Pas plus tard que le 15 novembre, l’acteur de la menace a été vu en train d’adopter un nouveau nom d’utilisateur sur PyPI (« halt ») pour télécharger des bibliothèques de typosquattage qui exploitaient StarJacking – une technique dans laquelle un package est publié avec une URL pointant vers un référentiel de code source déjà populaire. « Le niveau de manipulation utilisé par les attaquants de la chaîne d’approvisionnement logicielle augmente à mesure que les attaquants deviennent de plus en plus intelligents », a noté Harush. « C’est la première fois [que je] vois des logiciels malveillants polymorphes utilisés dans des attaques de la chaîne d’approvisionnement logicielle. » « La technique simple et mortelle consistant à tromper en créant de faux comptes GitHub et en partageant des extraits empoisonnés s’est avérée tromper des centaines d’utilisateurs dans cette campagne. » Le développement intervient également alors que les agences américaines de cybersécurité et de renseignement ont publié de nouvelles directives décrivant les pratiques recommandées que les clients peuvent adopter pour sécuriser la chaîne d’approvisionnement des logiciels. « Les équipes clientes spécifient et s’appuient sur les fournisseurs pour fournir des artefacts clés (par exemple, SBOM) et des mécanismes pour vérifier le produit logiciel, ses propriétés de sécurité et attester des processus et procédures de sécurité SDLC », indique le guide.