Les attaquants utilisent la faute de frappe, l’obscurcissement et les faux comptes pour glisser des logiciels malveillants basés sur Python dans des projets open-source, ce qui a fait monter de nouvelles alarmes pour la sécurité de la chaîne d’approvisionnement OSS.
Un groupe de menaces surnommé «Banana Squad», actif depuis avril 2023, a trojanisé plus de 60 référentiels GitHub dans une campagne en cours, offrant des kits de piratage basés sur Python avec des charges utiles malveillantes.
Découverts en inversant leslabs, les repos publics malveillants imitent chacun un outil de piratage bien connu pour avoir l’air légitime mais injecte une logique de porte dérobée cachée.
« À première vue (ils) semblent être des outils de piratage écrits dans Python (mais) étaient en fait des sosies trojanisées d’autres référentiels nommés », a déclaré le chercheur principal des logiciels malveillants Robert Simmons dans un article de blog. «Les référentiels ont été découverts en travaillant à l’envers à partir des indicateurs d’URL malveillants dans l’ensemble de données de renseignement sur le réseau de réversion de Network.»
Simmons a noté que la campagne représente un passage des imitations flagrantes NPM / PYPI à une exploitation plus subtile de plates-formes comme Github.
MALWORED se faisant passer pour des outils de piratage
Chacun des 67 référentiels empoisonnés trouvés a été usurpé à l’identité d’un voleur d’identification légitime de type utilité, d’un scanner de vulnérabilité ou d’autres outils sur le thème de l’infosec. Mais ces versions sont livrées avec du code malveillant furtivement intégré dans des cordes massives, des lacunes d’espace blanc ou une logique cryptique cachée loin hors écran.
« Il y a de nombreux espaces sur la ligne de code trojanisée, ce qui fait que même sur un grand moniteur à 4K avec une fenêtre maximisée, le code malveillant n’est pas en vue », a déclaré Simmons, expliquant le Squad Banana. « Cependant, la visualisation du fichier dans la fonction d’aperçu de Spectra Analyze montre clairement quel est le contenu. »
Les attaquants ont fourré un python nocif en une seule ligne illimité, en espérant que les utilisateurs ne feraient jamais défiler assez loin pour le remarquer.
Banana Squad avait précédemment poussé des centaines de packages de logiciels malveillants basés sur Windows à l’écosystème de code open source, y compris les systèmes de contrôle de version, les gestionnaires de packages PYPI et NPM, sous plusieurs alias. Ces forfaits, repérés en avril 2023, ont volé des données sensibles, y compris les détails du système et les portefeuilles cryptographiques, et ont été téléchargés près de 75000 fois avant le retrait.
La campagne avait un révélateur
RenversingLabs a observé quelques signes révélateurs sur les référentiels qui peuvent aider à attraper l’infection à sa source. « Pour la majorité des référentiels malveillants, le propriétaire a seulement (le dépôt malveillant) énuméré sous son compte Github », a déclaré Simmons. « Cela indique que ces types de comptes d’utilisateurs sont presque certainement faux et créés dans le but exprès d’héberger un référentiel malveillant. »
Les noms du référentiel se sont révélés identiques à un ou plusieurs autres référentiels non trojanisés, indiquant une forme de typo-squatting au jeu. De plus, la section «À propos» de ces référentiels était remplie de mots clés de recherche liés au thème du référentiel d’origine et comprenait souvent un emoji, généralement une flamme ou une fusée, faisant allusion à l’utilisation de l’IA.
RenversingLabs a partagé une liste d’indicateurs de campagne, y compris des domaines, des URL et des noms de fichiers, ainsi que les 67 référentiels signalés aux développeurs à surveiller.
« Pour les développeurs qui s’appuient sur ces plates-formes open source (GitHub), il est essentiel de toujours vérifier que le référentiel que vous utilisez contient en fait ce que vous attendez », a averti Simmons. « Cependant, la meilleure façon d’éviter de rencontrer cette menace est de comparer le référentiel souhaité à une bonne version précédente et connue du logiciel ou du code source. »
