Des chercheurs en cybersécurité ont découvert un package malveillant dans le référentiel Python Package Index (PyPI) qui se fait passer pour un utilitaire apparemment inoffensif lié à Discord mais qui intègre un cheval de Troie d’accès à distance.

Le paquet en question est discordpydebug , qui a été téléchargé sur PyPI le 21 mars 2022. Il a été téléchargé 11 574 fois et est toujours disponible sur le registre open source. Il est intéressant de noter qu’il n’a reçu aucune mise à jour depuis.

« À première vue, il s’agissait d’un simple utilitaire destiné aux développeurs travaillant sur des bots Discord utilisant la bibliothèque Discord.py », a déclaré l’équipe de recherche Socket . « Cependant, le package dissimulait un cheval de Troie d’accès à distance (RAT) parfaitement fonctionnel. »

Une fois installé, le paquet contacte un serveur externe (« backstabprotection.jamesx123.repl[.]co ») et inclut des fonctionnalités permettant de lire et d’écrire des fichiers arbitraires à partir des commandes readfile ou writefile reçues du serveur. Le RAT prend également en charge l’exécution de commandes shell.

En un mot, discordpydebug pourrait être utilisé pour lire des données sensibles, telles que des fichiers de configuration, des jetons et des informations d’identification, falsifier des fichiers existants, télécharger des charges utiles supplémentaires et exécuter des commandes pour exfiltrer des données.

« Bien que le code n’inclue pas de mécanismes de persistance ou d’élévation de privilèges, sa simplicité le rend particulièrement efficace », a déclaré Socket. « L’utilisation d’interrogations HTTP sortantes plutôt que de connexions entrantes lui permet de contourner la plupart des pare-feu et outils de surveillance de sécurité, en particulier dans les environnements de développement moins contrôlés. »

Cette découverte intervient alors que l’entreprise spécialisée dans la sécurité de la chaîne d’approvisionnement logicielle a également découvert plus de 45 packages npm se faisant passer pour des bibliothèques légitimes, disponibles sur d’autres écosystèmes, afin d’inciter les développeurs à les installer. Voici quelques-uns des packages les plus notables :

• beautifulsoup4 (un typosquat de la bibliothèque Python BeautifulSoup4)
• apache-httpclient (un typosquat de la bibliothèque Java Apache HttpClient)
• opentk (un typosquat de la bibliothèque OpenTK .NET)
• seaborn (un typosquat de la bibliothèque Python Seaborn)

• Il a été constaté que tous les packages identifiés partagent la même infrastructure, utilisent des charges utiles obscurcies similaires et pointent vers la même adresse IP, malgré la liste de mainteneurs différents, indiquant le travail d’un seul acteur de menace.« Les packages identifiés comme faisant partie de cette campagne contiennent du code obscurci conçu pour contourner les mesures de sécurité, exécuter des scripts malveillants, exfiltrer des données sensibles et maintenir la persistance sur les systèmes affectés », a déclaré Socket .