Bulletins

Des paquets PyPI créent des comptes Windows Remote Desktop et volent les fichiers de cache de Telegram

bs1.jpg

Sonatype a découvert plusieurs paquets PyPI malveillants qui créent de nouveaux comptes d'utilisateurs Remote Desktop sur des ordinateur Windows ou volent les fichiers de données Telegram chiffrés de votre client Telegram Desktop.

Les principaux paquets concernés sont : flask-requests-complex, php-requests-complex et tkinter-message-box.

Les paquets 'flask-requests-complex' et 'php-requests-complex' ne contiennent pas de description mais sont certainement nommés d'après le module populaire 'requests'.

Ces deux paquets contiennent du code qui ajoute un nouveau compte utilisateur, créé par l'attaquant, au groupe "Utilisateurs du bureau à distance" de Windows, ce qui permet aux attaquants de se connecter au système par RDP à volonté.

En outre, les paquets ont été vus en train d'effectuer une simple requête HTTP vers une URL tierce, afin d'informer l'acteur de la menace que l'attaque a réussi.

Le paquet 'tkinter-message-box' est un autre exemple de paquet malveillant nommé d'après 'tkinter', l'interface standard de Python pour une boîte à outils d'interface graphique, qui n'est pas accompagné d'une description valide.

Mais 'tkinter-message-box' ne contient pas de code lié à l'interface utilisateur ni d'utilitaire de boîte à messages. Au lieu de cela, il tente de localiser l'endroit où votre client Telegram Desktop stocke ses fichiers 'tdata'.

Les fichiers 'tdata' sont censés être des fichiers cryptés générés par le client Telegram Desktop pour stocker les paramètres et le cache. Bien qu'il soit peu probable que les fichiers de cache contiennent des historiques de chat complets, ils peuvent contenir des images JPG, des vidéos et d'autres médias échangés via l'application Telegram qui peuvent rester temporairement sur l'appareil.

Tous ces paquets ont été publiés par le même compte PyPI "ternaryternary" qui a publié sept paquets au total jusqu'à présent, dont presque tous semblent suspects.

Certains paquets, comme 'bs4tools', ouvrent des shells de liaison sur les ordinateurs infectés sur des numéros de port non conventionnels comme '54689' pour permettre aux attaquants d'accéder à distance aux machines Linux infectées.

Le nom 'bs4tools' est une fois de plus une tentative de typosquattage contre le paquet PyPI 'bs4' alias 'beautifulsoup4'.

Sonatype a signalé le compte suspect et ces paquets aux administrateurs de PyPI et les principaux paquets concernés ont été retirés quelques jours après notre rapport.