Des chercheurs découvrent 29 packages malveillants PyPI ciblés par des développeurs avec W4SP Stealer

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs en cybersécurité ont découvert 29 packages dans Python Package Index (PyPI), le référentiel de logiciels tiers officiel pour le langage de programmation Python, qui visent à infecter les machines des développeurs avec un malware appelé Voleur W4SP.

« L’attaque principale semble avoir commencé vers le 12 octobre 2022, prenant lentement de l’ampleur jusqu’à un effort concentré vers le 22 octobre », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels Phylum. a dit dans un rapport publié cette semaine.

La liste des packages incriminés est la suivante : typesutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorsama, shaasigma, stringe, felpesviadinho, cypress, pystyte , pyslyte, pystyle, pyurllib, algorithmic, oiu, iao, curlapi, type-color et pyhints.

Collectivement, les packages ont été téléchargés plus de 5 700 fois, certaines bibliothèques (par exemple, twyne et colorsama) s’appuyant sur le typosquattage pour inciter les utilisateurs peu méfiants à les télécharger.

Les modules frauduleux réutilisent les bibliothèques légitimes existantes en insérant un code malveillant déclaration d’importation dans le script « setup.py » des packages pour lancer un morceau de code Python qui récupère le malware à partir d’un serveur distant.

Voleur W4SPun cheval de Troie open source basé sur Python, est doté de capacités pour voler des fichiers d’intérêt, des mots de passe, des cookies de navigateur, des métadonnées système, des jetons Discord, ainsi que des données provenant des portefeuilles cryptographiques MetaMask, Atomic et Exodus.

Ce n’est pas la première fois que W4SP Stealer est livré via des packages apparemment bénins dans le référentiel PyPI. En août, Kaspersky découvert deux bibliothèques nommées pyquest et ultrarequests qui se sont avérées déployer le logiciel malveillant en tant que charge utile finale.

Les résultats illustrent la suite abuser de de Open source écosystèmes pour propager des packages malveillants conçus pour récolter des informations sensibles et faire place aux attaques de la chaîne d’approvisionnement.

« Comme il s’agit d’une attaque en cours avec des tactiques en constante évolution d’un attaquant déterminé, nous soupçonnons de voir apparaître davantage de logiciels malveillants comme celui-ci dans un avenir proche », a noté Phylum.