Des librairies Python malveillantes trouvées sur le répertoire PyPI
Huit Librairies Python ont été retirées du portail PyPI parce qu'ils contenaient un code malveillant. Ces librairies ont été téléchargées plus de 30 000 fois, ce qui prouve encore une fois que les dépôts de paquages logiciels sont en train de devenir une cible populaire pour les attaques de la chaîne d'approvisionnement.
Les packages concernés, sont répertoriés ci-dessous :
- pytagora (téléchargé par leonora123)
- pytagora2 (Téléchargé par leonora123)
- noblesse (Téléchargé par xin1111)
- genesisbot (Téléchargé par xin1111)
- are (Téléchargé par xin1111)
- suffer (Téléchargé par suffer)
- noblesse2 (Téléchargé par suffer)
- noblessev2 (Téléchargé par suffer)
Ces packages peuvent être utilisés de manière abusive pour devenir un point d'entrée pour les menaces, permettant à un attaquant d'exécuter du code à distance sur une machine victime, et de collecter des informations sur le système.
De même, le mois dernier, les entreprises Sonatype et Vdoo ont déclaré que le package Typosquatted dans PyPi permettaient de télécharger et d'exécuter un script shell payant qui, à son tour, récupérait un cryptomineur tiers tel que T-Rex, ubqminer ou PhoenixMiner pour miner de l'Ethereum et de l'Ubiq sur les systèmes des victimes.
Les logiciels malveillants dans PyPI peuvent conduire à des attaques à grande échelle de la chaîne d'approvisionnement. Les attaquants utilisent des techniques d'obscurcissement simples pour introduire des logiciels malveillants, ce qui signifie que les développeurs doivent être concernés et vigilants en mettant en place des mesures préventives telles que la vérification des signatures, des bibliothèques, et l'utilisation d'outils de sécurité applicative automatisés qui analysent les indices de code suspect inclus dans le projet.