Des paquets python PyPi qui exfiltrent les clés AWS vers des sites non sécurisés
Des chercheurs ont découvert un certain nombre de paquets Python malveillants dans le référentiel officiel de logiciels tiers, qui sont conçus pour exfiltrer les informations d'identification AWS et les variables d'environnement vers un point de terminaison exposé publiquement.
La liste des paquets comprend loglib-modules, pyg-modules, pygrata, pygrata-utils et hkg-sol-utils, selon Ax Sharma, chercheur en sécurité chez Sonatype. Les paquets ainsi que le point de terminaison ont été retirés.
"Certains de ces paquets contiennent du code qui lit et exfiltre vos secrets ou utilisent une des dépendances qui fera le travail", a déclaré Sharma.
Le code malveillant injecté dans "loglib-modules" et "pygrata-utils" permet aux paquets de récolter des informations d'identification AWS, des informations sur l'interface réseau et des variables d'environnement et de les exporter vers un point de terminaison distant : "hxxp://graph.pygrata[.]com:8000/upload".
Il est troublant de constater que les points de terminaison hébergeant ces informations sous la forme de centaines de fichiers .TXT n'étaient sécurisés par aucune barrière d'authentification, ce qui permettait à n'importe qui sur le Web d'accéder à ces informations d'identification.
Il convient de noter que des paquets comme "pygrata" utilisent l'un des deux modules susmentionnés en tant que dépendance et n'hébergent pas eux-mêmes le code. L'identité de l'acteur de la menace et ses motivations restent floues.