Des packages PyPI surpris en train de voler des numéros de carte de crédit et des jetons Discord

0

Le registre Python Package Index (PyPI) a supprimé plusieurs packages Python visant à voler les numéros de carte de crédit des utilisateurs, les jetons Discord et à accorder des capacités d’exécution de code aux attaquants.

Ces packages malveillants ont été publiés sous trois comptes PyPI différents et auraient totalisé plus de 30 000 téléchargements, selon le rapport des chercheurs.

Un logiciel malveillant vole des numéros de carte de crédit, des fichiers de navigateur, des jetons Discord

Les chercheurs en sécurité Andrey Polkovnichenko, Omer Kaspi et Shachar Menashe de JFrog ont analysé plusieurs packages Python malveillants qu’ils ont détectés dans le registre PyPI.

Ces packages sont les suivants, divisés en catégories:

Nom de PackageMainteneurCharge Utile
noblessexin1111Voleur de jeton Discord, Voleur de carte de credit (Windows)
genesisbotxin1111Le même que noblesse
aryixin1111 Le même que noblesse
suffersuffer Le même que noblesse , obscurci par PyArmor
noblesse2suffer Le même que noblesse
noblessev2suffer Le même que noblesse
pytagoraleonora123Remote code injection
pytagora2leonora123 Le même que pytagora

La plupart des packages volent des jetons Discord, des numéros de carte de crédit et des fichiers de navigateur Web, bien que certains offrent aux attaquants des capacités d’exécution de code.

Selon les chercheurs, tous les packages de la liste utilisent des techniques d’obscurcissement simples, similaires à celles utilisées par la plupart des logiciels malveillants Python.

Le code Python est codé en base64 et transmis à eval() après avoir été décodé.

PyPI
Un exemple d’extrait du package noblesse2 montrant un obscurcissement simple (JFrog)

Cependant, « les packages aryi et suffer ont été masqués à l’aide de PyArmor, ce qui suggère que les développeurs de logiciels malveillants expérimentent différentes méthodes d’obscurcissement », déclarent les chercheurs dans leur rapport.

Comme observé, la famille de logiciels malveillants noblesse se présente faussement comme des packages d’optimisation, avec des messages tels que « Ce module optimise votre PC pour Python », à la fois à l’intérieur des packages Python et sur les pages PyPI (maintenant supprimées):

noblesse PyPI
Le malware noblesse se présente à tort comme un optimiseur de code

Différents packages de la famille noblesse obtiennent les jetons d’authentification Discord de l’utilisateur et les fichiers de navigateur Web qui stockent les numéros de carte de crédit.

Ces numéros de carte de crédit sont souvent enregistrés dans les navigateurs Web par les utilisateurs qui souhaitent les utiliser ultérieurement via la « saisie semi-automatique ».

« Un jeton d’authentification permet à l’attaquant d’usurper l’identité de l’utilisateur qui détenait à l’origine le jeton (similaire aux cookies de session HTTP). »

« La charge utile qui vole les jetons est basée sur la tristement célèbre charge utile dTGPG (Discord Token Grabber Payload Generator). »

« Il s’agit d’un outil générateur qui n’a jamais été publié publiquement, mais les charges utiles (les capteurs de jetons individualisés) sont partagées publiquement, et certains exemples ont également été téléchargés sur GitHub« , déclarent les chercheurs.

Les voleurs de jetons Discord sont similaires dans leurs fonctionnalités (mais pas dans le code) aux voleurs npm de Discord sur lesquels nous avons déjà fait un rapport.

Pas votre théorème de Pythagore habituel

Un autre volet de logiciels malveillants chargés par certains de ces packages visait à des activités de reconnaissance pour recueillir des informations sur le système.

Bien que ces packages aient maintenant été supprimés de PyPI, en tant que chercheur en sécurité chez Sonatype, j’ai pu jeter un coup d’œil à l’intérieur de leurs copies archivées stockées par les systèmes automatisés de détection de logiciels malveillants de Sonatype.

Cette famille particulière de noblesse est conçue pour capturer des captures d’écran, la version Windows et les informations de clé de licence, l’adresse IP, le nom d’ordinateur/nom d’utilisateur, etc., et télécharger ces informations sur un Webhook Discord:

Le package « pytagora », d’autre part, contient la formule du théorème de Pythagore, ainsi qu’une charge utile en base64.

La charge utile lorsqu’elle est exécutée tente de se connecter à une adresse IP privée sur le port TCP 9009 et « écoute » les commandes entrantes.

Les raisons du choix par l’attaquant d’une adresse IP privée (172.16.60.80) ou ce que l’IP représente ne sont pas claires.

Encore un autre paquet malveillant

Au cours des derniers mois, les registres de logiciels open source, notamment npm, PyPI et RubyGems, ont constamment été touchés par des logiciels malveillants ou du contenu indésirable.

Ce rapport de JFrog intervient quelques semaines seulement après que des packages de cryptomining malveillants ont été détectés par Sonatype sur PyPI.

Et, le mois dernier, à la suite d’un avis de ReversingLabs, npm a supprimé les packages visant à voler les informations d’identification du navigateur Chrome via des outils de récupération de mot de passe légitimes.

Avec une augmentation massive des attaquants ciblant les registres de logiciels et le code des développeurs, le problème ne devrait pas disparaître de sitôt.

Un rapport de l’Agence de l’Union européenne pour la cybersécurité (ENISA) sur la sécurité de la chaîne d’approvisionnement logicielle publié récemment indique que 66% des attaques sont axées sur le code du fournisseur.

Les attaques émergentes de la chaîne d’approvisionnement en 2021 devraient être multipliées par quatre par rapport à celles signalées en 2020.

« Cette nouvelle tendance souligne la nécessité pour les décideurs politiques et la communauté de la cybersécurité d’agir maintenant. »

« C’est pourquoi de nouvelles mesures de protection pour prévenir et répondre aux futures attaques potentielles de la chaîne d’approvisionnement tout en atténuant leur impact doivent être introduites de toute urgence », déclare l’ENISA.

Laisser un commentaire