La vigilance est de mise avec les paquets Python

Python réticulé. © Mark Kostich/iStock.

Plus de 450 paquets malveillants ont récemment été téléchargés sur PyPI (Python Package Index), le dépôt de code officiel du langage de programmation Python. Découverts récemment par la société de sécurité Phylum, ils contenaient à peu près toujours le même code malicieux et ont été envoyés en rafales qui se succèdent rapidement. Une fois installés, les paquets créent une extension JavaScript malveillante qui se charge chaque fois qu’un navigateur est ouvert sur l’appareil infecté. Ce maliciel surveille le presse-papiers du développeur infecté à la recherche de toute adresse de cryptomonnaie qui pourrait s’y trouver, afin de la remplacer par une adresse appartenant à l’attaquant. Ce n’est pas la première fois que l’on découvre des paquets malveillants sur des dépôts, mais leur nombre semble être de plus en plus considérable et les attaquants redoublent d’ingéniosité pour piéger les développeurs pas assez vigilants. Bref, avant de télécharger un paquet, il vaut mieux vérifier plutôt deux fois qu’une que c’est le bon qui est appelé, en attendant que les dépôts de paquets mettent en œuvre des outils limitant la possibilité de diffuser aussi facilement du code malveillant en exploitant une simple faute de frappe dans un nom de paquet.

⇨ Ars Technica, Dan Goodin, “Latest attack on PyPI users shows crooks are only getting better.”

2023-02-14