Différents paquets malveillants ont été détectés dans le dossier PyPI pour des projets Python, transformant les postes de travail des développeurs en machines de cryptomining.

Tous les packages ont été publiés par le même auteur ("nedog123") sur PyPI, certains dès le mois d'avril de cette année. Ces packages PyPI sont listés ci-dessous et ont été téléchargés près de 5 000 fois :

• maratlib
• maratlib1
• matplatlib-plus
• mllearnlib
• mplatlib
• apprentissagelib

Ces composants contrefaits ont été découverts par le système de détection automatique des logiciels malveillants de Sonatype.

Pour chaque paquet, le code malveillant est situé dans le fichier setup.py, un script de construction qui s'exécute pendant l'installation d'un paquet. Lors de l'analyse du package, Sharma –chercheur de sonatype- a découvert qu'il tentait de télécharger un script Bash (aza2.sh) à partir d'un référentiel GitHub qui n'est plus disponible. Sharma a suivi les alias de l'auteur sur GitHub à l'aide d'intelligence open source et a découvert que le rôle du script était d'exécuter un cryptomineur appelé « Ubqminer » sur la machine compromise. Le chercheur note également que l'auteur du malware a remplacé l'adresse par défaut du portefeuille Kryptex par la sienne à exploiter pour la Crypto-monnaie Ubiq (UBQ).

En conclusion, il est possible d'affirmer que les attaquants ciblent constamment les code open source. Même si la détection se produit lorsque le nombre de téléchargements est faible, comme c'est généralement le cas, le risque est important car les développeurs peuvent intégrer le code malveillant dans des projets largement utilisés.