Jannah Theme License is not validated, Go to the theme options page to validate the license, You need a single license for each domain name.
Science et technologie

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

[ad_1]

Des logiciels malveillants très invasifs ciblant les développeurs de logiciels circulent à nouveau dans les bibliothèques de codes de chevaux de Troie, les plus récents ayant été téléchargés des milliers de fois au cours des huit derniers mois, ont indiqué mercredi des chercheurs.

Depuis janvier, huit outils de développement distincts contiennent des charges utiles cachées dotées de diverses capacités malveillantes, a déclaré la société de sécurité Checkmarx. Le plus récent est sorti le mois dernier sous le nom de «pyobfgood». Comme les sept packages qui le précèdent, pyobfgood se présente comme un outil d’obscurcissement légitime que les développeurs peuvent utiliser pour empêcher l’ingénierie inverse et la falsification de leur code. Une fois exécuté, il installait une charge utile, donnant à l’attaquant un contrôle presque complet de la machine du développeur.

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

Dans le domaine du développement de logiciels, les outils et packages open source jouent un rôle essentiel dans la simplification des tâches et l’accélération des processus de développement. Cependant, à mesure que la communauté grandit, le nombre de mauvais acteurs cherchant à l’exploiter augmente également. Un exemple récent est celui des développeurs ciblés par des packages d’obscurcissement Python qui semblent légitimes, mais qui hébergent du code malveillant.

Yehuda Gelb, chercheur en sécurité chez Checkmarx, vient de publier les résultats de ses recherches sur les packages d’obscurcissement Python. Voici les points clés de ses recherches :

  • Tout au long de l’année 2023, des attaquants ont distribué des packages Python malveillants déguisés en outils d’obscurcissement légitimes.
  • La charge utile malveillante est activée lors de l’installation.
  • Appelé « BlazeStealer », il récupère un script malveillant supplémentaire à partir d’une source externe, activant un robot Discord qui permet aux attaquants de prendre le contrôle total de l’ordinateur de la victime.
  • Les développeurs qui se livrent à l’obscurcissement du code travaillent probablement avec des informations précieuses et sensibles. Par conséquent, les pirates informatiques les considèrent comme des cibles précieuses à poursuivre et sont donc susceptibles d’être les victimes visées de cette attaque.

Tout au long de l’année et jusqu’au mois dernier, des pirates ont introduit divers packages dont les noms commencent par « pyobf », notamment « pyobftoexe », « pyobfusfile », « pyobfexecute », pour n’en nommer que quelques-uns, et plus récemment, « pyobfgood ». Ces packages, qui semblent à première vue être des outils utiles pour obscurcir le code Python, ont des intentions cachées. Ces noms, choisis par les attaquants, ont été intentionnellement conçus pour ressembler à des packages authentiques tels que « pyobf2 » et « pyobfuscator », que les développeurs utilisent pour obscurcir leur code Python.

pyobfgood, le package le plus récent de ce type, et celui dont nous parlerons dans ce blog, a été publié fin octobre 2023 dans l’écosystème Python, apportant avec lui une charge utile destructrice.

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

Un examen plus approfondi du package pyobfgood a révélé ce qui suit : Les fichiers setup.py et init.py du package contiennent un script activé lors de l’installation du package, qui reçoit et exécute le code d’une source externe :

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

Ils l’appellent – BlazeStealer

L’examen du code Python récupéré nous a permis de faire plusieurs observations.

Ce malware, nommé « BlazeStealer », exécute un bot Discord avec l’identifiant unique suivant : «MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo« 

Une fois activé, ce bot donne à l’attaquant le contrôle total du système de la cible, lui permettant d’effectuer une myriade d’actions nuisibles sur la machine de la victime. Il peut notamment

  • Exfiltrer des informations détaillées sur l’hôte
  • voler des mots de passe dans le navigateur Web Chrome
  • installer un enregistreur de frappe
  • télécharger des fichiers depuis le système de la victime
  • prendre des captures d’écran et enregistrer l’écran et le son
  • Rendre l’ordinateur inutilisable en augmentant l’utilisation du processeur, en insérant un script batch dans le répertoire de démarrage pour arrêter l’ordinateur ou en provoquant une erreur BSOD avec un script Python.
  • chiffrer des fichiers, éventuellement contre une rançon
  • Désactivez Windows Defender et le Gestionnaire des tâches
  • Exécutez n’importe quelle commande sur l’hôte compromis

Souriez à la caméra 🙂 Votre package open source prend une photo de vous

Le bot Discord comprend une commande spécifique pour contrôler la caméra de l’ordinateur. Pour ce faire, il télécharge discrètement un fichier zip à partir d’un serveur distant, extrait le contenu et exécute une application appelée WebCamImageSave.exe. Cette application permet au robot de prendre secrètement une photo grâce à la webcam. L’image résultante est ensuite renvoyée sur la chaîne Discord, ne laissant aucune trace de sa présence après la suppression des fichiers téléchargés.

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

Parmi ces fonctions malveillantes, l’humour malicieux du bot apparaît dans des messages qui moquent la destruction imminente de la machine compromise. « Votre ordinateur va commencer à brûler, bonne chance. Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx » Et « Votre ordinateur va mourir maintenant, bonne chance pour le récupérer Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx« 

Mais au moins il y a un smiley à la fin de ces messages. Ces messages mettent en évidence non seulement l’intention malveillante, mais aussi l’audace des attaquants.

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

Les cibles de ces attaques

Qui sont les cibles de ces attaques ? Pourquoi les ciblent-ils ?

Il va de soi que les développeurs qui se livrent à l’obscurcissement du code manipulent probablement des informations précieuses et sensibles, ce qui, pour un pirate informatique, en fait une cible intéressante.

Répartition en pourcentage du total des téléchargements du package malveillant par pays

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

Conclusion

Le domaine du logiciel libre reste un terrain fertile pour l’innovation, mais il faut être prudent. Les développeurs doivent rester vigilants et examiner les packages avant de les consommer.

Dans le cadre de la solution Checkmarx Supply Chain Security, notre équipe de recherche surveille en permanence les activités suspectes dans l’écosystème des logiciels open source. Nous suivons et signalons les « signaux » pouvant indiquer un acte criminel et alertons rapidement nos clients pour les aider à se protéger.

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx

Source : Yehuda Gelb, chercheur en sécurité chez Checkmarx

Et toi ?

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx Quelle est votre opinion sur le sujet ?

Voir aussi :

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx Une poignée de packages contenant du code malveillant ont été téléchargés 30 000 fois sur PyPI et près de la moitié des packages sur PyPI présentent au moins un problème de sécurité, selon les chercheurs.

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx 25 bibliothèques JavaScript malveillantes distribuées via le référentiel officiel de packages NPM, les chercheurs attribuent ce travail à des auteurs de logiciels malveillants novices

Les développeurs ciblés par une porte dérobée hautement invasive insérée dans des packages open source Huit outils de développement contenaient des charges utiles malveillantes, selon Checkmarx Les pirates ont inondé NPM de faux packages, provoquant une attaque DoS qui a laissé NPM instable, selon un rapport de Checkmarx qui note une explosion de packages publiés en mars.

[ad_2]

Gn Ca tech

Back to top button