Le monde du développement Python est en alerte. Des packages malveillants infestent discrètement le référentiel officiel Python, PyPI, Et, étonnamment, tous les chemins semblent mener à la Corée du Nord.
🔥 Nous recommandons McAfee
McAfee est le meilleur logiciel de protection grâce à sa défense proactive, son pare-feu intelligent, son VPN intégré et sa détection instantanée des menaces. Sécurité totale, performance préservée, tranquillité assurée.
J'en profiteDes packages Python problématiques
Trois nouveaux packages malveillants ont été ajoutés à PyPI. Ils font partie d’une campagne malveillante nommée VMConnect. Or, des signes montrent une possible implication de la Corée du Nord. Ces paquets, identifiés par ReversingLabs, sont tablediter, request-plus et requestpro.
Par ailleurs, ces acteurs trompent les utilisateurs. Ils utilisent le typosquatting pour imiter des outils Python légitimes. Par exemple, le code de tablediter s’exécute en boucle. Il contacte un serveur distant pour obtenir et exécuter une charge malveillante. Néanmoins, le package n’active pas immédiatement son code malveillant, au contraire, il attend. Ainsi, il évite la détection par des logiciels de sécurité. Comme l’a souligné Karlo Zanki, un expert, cette stratégie est astucieuse.
Les deux autres packages, request-plus et requestpro, sont aussi préoccupants. Ils peuvent voler des informations d’une machine infectée. Puis, ils envoient ces données à un serveur distant.
Connexions troublantes avec la Corée du Nord
Les soupçons concernant l’implication de la Corée du Nord ne sont pas sans fondement. En fait, des connexions ont été établies entre ces attaques Python et d’autres campagnes malveillantes antérieures. GitHub a identifié une entité, appelée Jade Sleet ou TraderTraitor, comme étant potentiellement derrière ces attaques. Cette entité a des liens avec les opérations cybernétiques de la Corée du Nord.
En outre, un autre package malveillant, py_QRcode, a été découvert avec des fonctionnalités similaires à VMConnect. Il semble qu’il ait été utilisé pour cibler spécifiquement les développeurs de crypto-monnaies en mai 2023.
Le monde Python doit donc être vigilant. Comme l’a souligné Zanki, « les acteurs de la menace continuent d’utiliser le référentiel Python Package Index (PyPI) comme point de distribution de leurs logiciels malveillants ».
