Des chercheurs en cybersécurité ont découvert 11 libraires Python malveillantes téléchargées plus de 41 000 fois à partir du dépôt Python Package Index (PyPI) et qui pourraient être exploités pour voler des jetons d'accès à Discord, des mots de passe et même pour mener des attaques par confusion de dépendances.

Les paquets Python concernés (importantpackage, important-package, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, 10Cent11, yandex-yt et yiffparty) ont depuis été retirés du dépôt à la suite d'un signalement de la société DevOps JFrog.

Deux librairies ("importantpackage", "10Cent10" et leurs variantes) ont été utilisés pour obtenir un reverse shell, donnant à l'attaquant le contrôle total d'une machine infectée. Deux autres paquages, "ipboards" et "trrfab", se sont fait passer pour des dépendances légitimes conçues pour être importées automatiquement en tirant parti d'une technique appelée "confusion de dépendance" ou "confusion d'espace de noms".

La confusion de dépendances fonctionne en téléchargeant des composants empoisonnés avec des noms identiques à ceux des paquets privés internes légitimes, mais avec une version plus élevée et téléchargée dans des dépôts publics, forçant effectivement le gestionnaire de paquets de la cible à télécharger et à installer le module malveillant.

La dépendance "importantpackage" se distingue également par son nouveau mécanisme d'exfiltration permettant d'échapper à la détection par le réseau, qui consiste à utiliser le réseau de diffusion de contenu (CDN) de Fastly pour masquer ses communications avec le serveur contrôlé par l'attaquant en tant que communication avec pypi[.]org.

Le code malveillant "provoque l'envoi d'une requête HTTPS à pypi.python[.]org (qui est indiscernable d'une requête légitime à PyPI), qui est ensuite reroutée par le CDN comme une requête HTTP au serveur C&C", expliquent les chercheurs de JFrog Andrey Polkovnychenko et Shachar Menashe dans un rapport.

Enfin, les paquages "ipboards" et "pptest" ont été découverts en train d'utiliser le tunneling DNS comme méthode d'exfiltration de données en s'appuyant sur les requêtes DNS comme canal de communication entre la machine victime et le serveur distant. JFrog a déclaré que c'est la première fois que cette technique a été repérée dans un logiciel malveillant téléchargé sur PyPI.

"Les gestionnaires de paquets sont un vecteur puissant et en pleine expansion pour l'installation involontaire de code malveillant", a déclaré Menashe, directeur principal de la recherche chez JFrog. "Les techniques d'évasion avancées utilisées dans ces logiciels malveillants, comme l'exfiltration inédite ou même le tunnelage DNS, signalent une tendance inquiétante selon laquelle les attaquants deviennent plus furtifs dans leurs attaques contre les logiciels libres.