Un acteur de la menace du nom de Lolip0p a téléchargé trois paquets malveillants dans le dépôt Python Package Index (PyPI), conçus pour déposer des logiciels malveillants sur des systèmes de développeurs compromis.

Les paquets - nommés colorslib (versions 4.6.11 et 4.6.12), httpslib (versions 4.6.9 et 4.6.11), et libhttps (version 4.6.12) - entre le 7 janvier 2023 et le 12 janvier 2023. Ils ont depuis été retirés de PyPI, mais pas avant d'avoir été téléchargés plus de 550 fois.

Les modules sont accompagnés de scripts de configuration identiques conçus pour invoquer PowerShell et exécuter un binaire malveillant ("Oxzy.exe") hébergé sur Dropbox, a révélé Fortinet dans un rapport publié la semaine dernière.

L'exécutable, une fois lancé, déclenche la récupération d'une étape suivante, également un binaire nommé update.exe, qui s'exécute dans le dossier temporaire de Windows ("%USER%\AppData\Local\Temp\").

Le fichier update.exe est signalé par les éditeurs d'antivirus sur VirusTotal comme un voleur d'informations capable de déposer d'autres binaires, dont l'un est détecté par Microsoft sous le nom de Wacatac.

Cette divulgation intervient quelques semaines après que Fortinet ait découvert deux autres paquets malveillants du nom de Shaderz et aioconsol, qui offrent des capacités similaires de collecte et d'exfiltration d'informations personnelles sensibles.

Les utilisateurs sont invités à faire preuve de prudence lorsqu'il s'agit de télécharger et d'exécuter des paquets provenant d'auteurs non fiables afin d'éviter d'être la proie d'attaques de la chaîne d'approvisionnement.