Plus de 400 packages malveillants ont récemment été téléchargés sur PyPI (Python Package Index), le référentiel de code officiel du langage de programmation Python, dans la dernière indication que le ciblage des développeurs de logiciels utilisant cette forme d’attaque n’est pas une mode passagère.
Les 451 packages découverts récemment par la société de sécurité Phylum contenaient des charges utiles malveillantes presque identiques et ont été téléchargés en rafales qui se sont succédé rapidement. Une fois installés, les packages créent une extension JavaScript malveillante qui se charge à chaque fois qu’un navigateur est ouvert sur l’appareil infecté, une astuce qui permet au malware de persister après les redémarrages.
Le JavaScript surveille le presse-papiers du développeur infecté pour toutes les adresses de crypto-monnaie qui peuvent y être copiées. Lorsqu’une adresse est trouvée, le malware la remplace par une adresse appartenant à l’attaquant. L’objectif : intercepter les paiements que le développeur avait l’intention de faire à une autre partie.
En novembre, Phylum a identifié des dizaines de packages, téléchargés des centaines de fois, qui utilisaient du JavaScript hautement codé pour faire subrepticement la même chose. Concrètement, il :
- Création d’une zone de texte sur la page
- Collé le contenu du presse-papiers dessus
- Utilisation d’une série d’expressions régulières pour rechercher des formats d’adresse de crypto-monnaie courants
- Remplacement de toutes les adresses identifiées par les adresses contrôlées par l’attaquant dans la zone de texte précédemment créée
- Copié la zone de texte dans le presse-papiers
“Si à un moment donné un développeur compromis copie une adresse de portefeuille, le paquet malveillant remplacera l’adresse par une adresse contrôlée par l’attaquant”, a écrit le directeur technique de Phylum, Louis Lang, dans l’article de novembre. “Cette recherche/remplacement subreptice amènera l’utilisateur final à envoyer par inadvertance ses fonds à l’attaquant.”
Nouvelle méthode d’obscurcissement
En plus d’augmenter considérablement le nombre de packages malveillants téléchargés, la dernière campagne utilise également une manière très différente de brouiller les pistes. Alors que les packages divulgués en novembre utilisaient un codage pour dissimuler le comportement de JavaScript, les nouveaux packages écrivent des identifiants de fonction et de variable dans ce qui semble être des combinaisons aléatoires de 16 bits d’idéogrammes en chinois trouvés dans le tableau suivant :
Publicité
| Point de code Unicode | Idéogramme | Définition |
|---|---|---|
| 0x4eba | 人 | homme; personnes; humanité; quelqu’un d’autre |
| 0x5200 | 刀 | couteau; vieille pièce de monnaie; mesure |
| 0x53e3 | 口 | bouche; extrémité ouverte; porte d’entrée |
| 0x5973 | 女 | femme, fille; féminin |
| 0x5b50 | 子 | enfant; fruit, graine de |
| 0x5c71 | 山 | montagne, colline, pic |
| 0x65e5 | 日 | soleil; jour; jour |
| 0x6708 | 月 | lune; mois |
| 0x6728 | 木 | arbre; bois, bois d’oeuvre; en bois |
| 0x6c34 | 水 | eau, liquide, lotion, jus |
| 0x76ee | 目 | œil; regarde; section, sujet |
| 0x99ac | 馬 | cheval; nom de famille |
| 0x9a6c | 马 | cheval; nom de famille |
| 0x9ce5 | 鳥 | oiseau |
| 0x9e1f | 鸟 | oiseau |
A l’aide de ce tableau, la ligne de code
”.join(map(getattr(__builtins__, oct.__str__()[-3 << 0] + hex.__str__()[-1 << 2] + copyright.__str__()[4 << 0]), [(((1 << 4) - 1) << 3) - 1, ((((3 << 2) + 1)) << 3) + 1, (7 << 4) - (1 << 1), ((((3 << 2) + 1)) << 2) - 1, (((3 << 3) + 1) << 1)]))
crée la fonction intégrée chr et mappe la fonction à la liste des entiers [119, 105, 110, 51, 50]. Ensuite, la ligne le combine en une chaîne qui crée finalement “win32”.
Les chercheurs de Phylum ont expliqué :
Nous pouvons voir une série de ces types d’appels oct.__str__()[-3 << 0]. Le [-3 << 0] évalue à [-3] et oct.__str__() est évalué à la chaîne '
”.join(map(getattr(__builtins__, ‘c’ + ‘h’ + ‘r’), [119, 105, 110, 51, 50]))
Le getattr(__builtins__, ‘c’ + ‘h’ + ‘r’) nous donne juste la fonction intégrée chr et ensuite il mappe chr à la liste des entiers [119, 105, 110, 51, 50] puis le joint tous ensemble dans une chaîne nous donnant finalement ‘win32’. Cette technique est poursuivie tout au long du code.
Tout en donnant l’apparence d’un code hautement obscurci, la technique est finalement facile à vaincre, ont déclaré les chercheurs, simplement en observant ce que fait le code lorsqu’il s’exécute.
Le dernier lot de packages malveillants tente de capitaliser sur les fautes de frappe commises par les développeurs lors du téléchargement de l’un de ces packages légitimes :
- bitcoinlib
- ccxt
- cryptocomparer
- crypto-alimentation
- freqtrade
- sélénium
- solana
- vipère
- websockets
- yfinance
- pandas
- matplotlib
- aihttp
- belle soupe
- flux tenseur
- sélénium
- rauque
- colorama
- scikit-apprendre
- pytorche
- pygame
- pyinstaller
Les packages qui ciblent le package vyper légitime, par exemple, utilisaient 13 noms de fichiers qui omettaient ou dupliquaient un seul caractère ou transposaient deux caractères du nom correct :
- yper
- vper
- plus
- vite
- vvyper
- vyyper
- poivre
- vipeer
- vyperr
- yvper
- vpyer
- vyepr
- vipré
“Cette technique est trivialement facile à automatiser avec un script (nous laissons cela comme un exercice pour le lecteur), et à mesure que la longueur du nom du paquet légitime augmente, les typosquats possibles augmentent également”, ont écrit les chercheurs. “Par exemple, notre système a détecté 38 typosquats du package cryptocompare publiés presque simultanément par l’utilisateur nommé pinigin.9494.”
La disponibilité de packages malveillants dans des référentiels de code légitimes qui ressemblent étroitement aux noms de packages légitimes remonte à au moins 2016 lorsqu’un étudiant a téléchargé 214 packages piégés dans les référentiels PyPI, RubyGems et NPM contenant des noms légèrement modifiés de packages légitimes. . Résultat : le code imposteur a été exécuté plus de 45 000 fois sur plus de 17 000 domaines distincts, et plus de la moitié ont reçu des droits d’administration tout-puissants. Les attaques dites de typosquattage se sont multipliées depuis.
Les noms des 451 packages malveillants trouvés par les chercheurs de Phylum sont inclus dans le billet de blog. Ce n’est pas une mauvaise idée pour quiconque ayant l’intention de télécharger l’un des packages légitimes ciblés de vérifier qu’il n’a pas obtenu par inadvertance un sosie malveillant.
