IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les développeurs sont la cible d'une porte dérobée très invasive insérée dans des paquets open source


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 580
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 580
    Points : 110 443
    Points
    110 443
    Par défaut Les développeurs sont la cible d'une porte dérobée très invasive insérée dans des paquets open source
    Les développeurs sont la cible d'une porte dérobée très invasive insérée dans des paquets open source, huit outils de développement contenaient des payloads malveillantes, d'après Checkmarx.

    Des logiciels malveillants très invasifs ciblant les développeurs de logiciels circulent à nouveau dans des bibliothèques de codes troyens, les plus récents ayant été téléchargés des milliers de fois au cours des huit derniers mois, ont indiqué des chercheurs mercredi.

    Depuis janvier, huit outils de développement distincts contiennent des payloads cachées dotées de diverses capacités malveillantes, a indiqué la société de sécurité Checkmarx. Le plus récent a été publié le mois dernier sous le nom de "pyobfgood". Comme les sept paquets qui l'ont précédé, pyobfgood se présente comme un outil d'obscurcissement légitime que les développeurs peuvent utiliser pour empêcher la rétro-ingénierie et la falsification de leur code. Une fois exécuté, il installait une payload, donnant à l'attaquant le contrôle presque total de la machine du développeur.

    Nom : 1.jpg
Affichages : 73402
Taille : 36,8 Ko

    Dans le domaine du développement de logiciels, les outils et les paquets open source jouent un rôle essentiel dans la simplification des tâches et l'accélération des processus de développement. Cependant, à mesure que la communauté grandit, le nombre d'acteurs malveillants cherchant à l'exploiter augmente également. Un exemple récent est celui des développeurs ciblés par des paquets d'obscurcissement Python apparemment légitimes, mais qui abritent des codes malveillants.

    Yehuda Gelb, un chercheur en sécurité chez Checkmarx vient de publier les résultats de ses recherches sur les paquets d'obscurcissement Python. Voici les points clés de sa recherche :
    • Tout au long de l'année 2023, des attaquants ont distribué des paquets Python malveillants déguisés en outils d'obscurcissement légitimes.
    • La payload malveillante s'active dès l'installation.
    • Appelé "BlazeStealer", il récupère un script malveillant supplémentaire à partir d'une source externe, activant un bot Discord qui permet aux attaquants de prendre le contrôle total de l'ordinateur de la victime.
    • Les développeurs qui s'adonnent à l'obscurcissement du code travaillent probablement avec des informations précieuses et sensibles. Par conséquent, les pirates les considèrent comme des cibles précieuses à poursuivre et sont donc susceptibles d'être les victimes visées par cette attaque.


    Tout au long de l'année et jusqu'au mois dernier, les pirates ont introduit divers paquets dont les noms commençaient par "pyobf", notamment "pyobftoexe", "pyobfusfile", "pyobfexecute", pour n'en citer que quelques-uns, et plus récemment, "pyobfgood". Ces paquets, qui se présentent à première vue comme des outils utiles pour l'obscurcissement du code Python, ont des intentions cachées. Ces noms, choisis par les attaquants, ont été intentionnellement conçus pour ressembler à d'authentiques paquets tels que "pyobf2" et "pyobfuscator", que les développeurs utilisent pour obscurcir leur code Python.

    pyobfgood, le paquet le plus récent de ce type, et celui dont nous parlerons dans ce blog, a été publié fin octobre 2023 dans l'écosystème Python, apportant avec lui une charge utile destructrice.

    Nom : 1.PNG
Affichages : 5445
Taille : 542,8 Ko

    Un examen plus approfondi du paquet pyobfgood a révélé les éléments suivants : Les fichiers setup.py et init.py du paquet contiennent un script activé lors de l'installation du paquet, qui reçoit et exécute du code provenant d'une source externe :

    Nom : 2.png
Affichages : 5400
Taille : 127,3 Ko

    Ils l'appellent - BlazeStealer

    L'examen du code Python récupéré a permis de faire plusieurs observations.

    Ce logiciel malveillant, nommé "BlazeStealer", exécute un bot Discord avec l'identifiant unique suivant : "MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo"

    Une fois activé, ce bot donne à l'attaquant le contrôle total du système de la cible, ce qui lui permet d'effectuer une myriade d'actions nuisibles sur la machine de la victime. Il peut notamment

    • Exfiltrer des informations détaillées sur l'hôte
    • voler des mots de passe dans le navigateur web Chrome
    • installer un enregistreur de frappe
    • télécharger des fichiers à partir du système de la victime
    • faire des captures d'écran et enregistrer l'écran et le son
    • Rendre l'ordinateur inopérant en augmentant l'utilisation du processeur, en insérant un script batch dans le répertoire de démarrage pour éteindre l'ordinateur ou en provoquant une erreur BSOD avec un script Python.
    • chiffrer des fichiers, éventuellement contre une rançon
    • Désactiver Windows Defender et le gestionnaire des tâches
    • Exécuter n'importe quelle commande sur l'hôte compromis


    Sourire à l'appareil photo 🙂 Votre paquetage open-source vous prend en photo

    Le bot Discord inclut une commande spécifique pour contrôler la caméra de l'ordinateur. Pour ce faire, il télécharge discrètement un fichier zip à partir d'un serveur distant, en extrait le contenu et exécute une application appelée WebCamImageSave.exe. Cette application permet au robot de prendre secrètement une photo à l'aide de la webcam. L'image obtenue est ensuite renvoyée sur le canal Discord, sans laisser de trace de sa présence après avoir supprimé les fichiers téléchargés.

    Nom : 3.png
Affichages : 5415
Taille : 1,10 Mo

    Parmi ces fonctions malveillantes, l'humour malveillant du bot apparaît dans des messages qui tournent en dérision la destruction imminente de la machine compromise. "Votre ordinateur va commencer à brûler, bonne chance. " et "Votre ordinateur va mourir maintenant, bonne chance pour le récupérer "

    Mais au moins, il y a un smiley à la fin de ces messages. Ces messages soulignent non seulement l'intention malveillante, mais aussi l'audace des attaquants.

    Nom : 4.png
Affichages : 5431
Taille : 790,3 Ko

    Les cibles de ces attaques

    Qui sont les cibles de ces attaques ? Pourquoi les ciblent-ils ?

    Il va de soi que les développeurs qui s'adonnent à l'obscurcissement du code manipulent probablement des informations précieuses et sensibles, ce qui, pour un pirate informatique, en fait une cible digne d'intérêt.

    Répartition en pourcentage du nombre total de téléchargements du paquet malveillant par pays

    Nom : 5.png
Affichages : 5409
Taille : 57,5 Ko

    Conclusion

    Le domaine des logiciels libres reste un terrain fertile pour l'innovation, mais il faut être prudent. Les développeurs doivent rester vigilants et vérifier les paquets avant de les consommer.

    Dans le cadre de la solution Checkmarx Supply Chain Security, notre équipe de recherche surveille en permanence les activités suspectes dans l'écosystème des logiciels libres. Nous suivons et signalons les "signaux" qui peuvent indiquer un jeu déloyal et alertons rapidement nos clients pour les aider à se protéger.

    Nom : 6.png
Affichages : 5428
Taille : 50,0 Ko
    Source : Yehuda Gelb, chercheur en sécurité chez Checkmarx

    Et vous ?

    Quel est votre avis sur le sujet ?

    Voir aussi :

    Une poignée de paquets contenant du code malveillant a été téléchargée 30 000 fois sur PyPI et près de la moitié des paquets sur PyPI ont au moins un problème de sécurité, annoncent des chercheurs

    25 bibliothèques JavaScript malveillantes distribuées via le référentiel de packages NPM officiel, les chercheurs attribuent ce travail à des « auteurs novices de logiciels malveillants »

    Des hackers ont inondé NPM avec de faux packages, provoquant une attaque DoS qui a rendu NPM instable, selon un rapport de Checkmarx qui note une explosion de packages publiés en mars

  2. #2
    Membre actif
    Avatar de Aiigl59
    Homme Profil pro
    Freelance
    Inscrit en
    Janvier 2008
    Messages
    94
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Jura (Franche Comté)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Janvier 2008
    Messages : 94
    Points : 271
    Points
    271
    Billets dans le blog
    1
    Par défaut Késako ?
    ??????

  3. #3
    Membre habitué
    Homme Profil pro
    Dev C++, CUDA
    Inscrit en
    Mai 2005
    Messages
    83
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Nouvelle-Zélande

    Informations professionnelles :
    Activité : Dev C++, CUDA
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Mai 2005
    Messages : 83
    Points : 129
    Points
    129
    Par défaut
    C'est la version 2023 du: J'ai telechage ce programme "je_sui_clean.msi" et quand je l'ai installe, mon ordi commence a etre malade

  4. #4
    Membre actif
    Homme Profil pro
    Architecte technique
    Inscrit en
    Juin 2019
    Messages
    111
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Juin 2019
    Messages : 111
    Points : 264
    Points
    264
    Par défaut
    Après, bon, les gens qui développent sous windows ...

Discussions similaires

  1. Réponses: 0
    Dernier message: 24/09/2021, 12h00
  2. Réponses: 9
    Dernier message: 08/12/2020, 03h22
  3. Réponses: 1
    Dernier message: 09/04/2019, 23h52
  4. Réponses: 5
    Dernier message: 28/05/2018, 01h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo