Des packages PyPI malveillants exploitent les API Instagram et TikTok pour valider les comptes utilisateurs
Des chercheurs en cybersécurité ont découvert des packages malveillants téléchargés dans le référentiel Python Package Index (PyPI) qui agissent comme des outils de vérification pour valider les adresses e-mail volées par rapport aux API TikTok et Instagram.
Ces trois packages ne sont plus disponibles sur PyPI. Leurs noms sont indiqués ci-dessous :
- vérificateur-SaGaF (2 605 téléchargements)
- steinlurks (1 049 téléchargements)
- sinnercore (3 300 téléchargements)
« Fidèle à son nom, checker-SaGaF vérifie si un e-mail est associé à un compte TikTok et à un compte Instagram », a déclaré Olivia Brown, chercheuse chez Socket, dans une analyse publiée la semaine dernière.
Plus précisément, le package est conçu pour envoyer des requêtes HTTP POST à l’API de récupération de mot de passe de TikTok et aux points de terminaison de connexion au compte d’Instagram pour déterminer si une adresse e-mail transmise en entrée est valide, ce qui signifie qu’il existe un titulaire de compte correspondant à cette adresse e-mail.
« Une fois que les acteurs de la menace disposent de ces informations, simplement à partir d’une adresse e-mail, ils peuvent menacer de divulguer des informations ou de spammer, mener de fausses attaques de rapport pour faire suspendre des comptes ou simplement confirmer les comptes cibles avant de lancer un exploit de bourrage d’informations d’identification ou de pulvérisation de mots de passe », a déclaré Brown.
Des listes d’utilisateurs validées sont également vendues sur le dark web à des fins lucratives. Constituer des dictionnaires d’adresses e-mail actives peut sembler anodin, mais ces informations permettent et accélèrent des chaînes d’attaque entières et minimisent la détection en ciblant uniquement les comptes connus comme valides.
Le deuxième package, « steinlurks », cible de manière similaire les comptes Instagram en envoyant de fausses requêtes HTTP POST imitant l’application Android Instagram pour échapper à la détection. Il y parvient en ciblant différents points de terminaison d’API :
- i.instagram[.]com/api/v1/users/lookup/
- i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/accounts/check_email/
« Sinnercore », d’autre part, vise à déclencher le flux de mot de passe oublié pour un nom d’utilisateur donné, en ciblant le point de terminaison de l’API « biinstagram[.]com/api/v1/accounts/send_password_reset/ » avec de fausses requêtes HTTP contenant le nom d’utilisateur de la cible.
« Il existe également des fonctionnalités ciblant Telegram, à savoir l’extraction du nom, de l’identifiant de l’utilisateur, de la biographie et du statut premium, ainsi que d’autres attributs », a expliqué Brown.
Certaines parties de Sinnercore sont axées sur les utilitaires cryptographiques, comme l’obtention du prix Binance en temps réel ou les conversions de devises. Il cible même les programmeurs PyPI en récupérant des informations détaillées sur n’importe quel package PyPI, probablement utilisées pour falsifier des profils de développeurs ou se faire passer pour des développeurs.
Cette révélation intervient alors que ReversingLabs a détaillé un autre package malveillant nommé « dbgpkg » qui se fait passer pour un utilitaire de débogage, mais implante une porte dérobée sur le système du développeur pour faciliter l’exécution de code et l’exfiltration de données. Bien que le package ne soit plus accessible, on estime qu’il a été téléchargé environ 350 fois.
Il est intéressant de noter que le paquet en question contenait la même charge utile que celui intégré dans « discordpydebug », signalé par Socket plus tôt ce mois-ci. ReversingLabs a également identifié un troisième paquet, appelé « requestsdev », qui ferait partie de la même campagne. Il a été téléchargé 76 fois avant d’être supprimé.
Une analyse plus approfondie a déterminé que la technique de porte dérobée du package utilisant GSocket ressemble à celle de Phoenix Hyena (alias DumpForums ou Silent Crow), un groupe hacktiviste connu pour avoir ciblé des entités russes, dont Doctor Web, au lendemain de la guerre russo-ukrainienne au début de 2022.
Bien que l’attribution soit au mieux provisoire, ReversingLabs a souligné que l’activité pourrait également être l’œuvre d’un acteur malveillant imitateur. Cependant, l’utilisation de charges utiles identiques et le fait que « discordpydebug » ait été mis en ligne pour la première fois en mars 2022 renforcent l’hypothèse d’un lien possible avec Phoenix Hyena.
« Les techniques malveillantes utilisées dans cette campagne, y compris un type spécifique d’implant de porte dérobée et l’utilisation de fonctions Python wrapping, montrent que l’acteur de la menace derrière elle est sophistiqué et très prudent pour éviter d’être détecté », a déclaré le chercheur en sécurité Karlo Zanki .
« L’utilisation de fonctions d’encapsulation et d’outils comme le Global Socket Toolkit montre que les acteurs de la menace qui se cachent derrière cherchaient également à établir une présence à long terme sur les systèmes compromis sans se faire remarquer. »

Ces résultats coïncident également avec la découverte d’un package npm malveillant appelé « koishi-plugin-pinhaofa », qui installe une porte dérobée d’exfiltration de données dans les chatbots utilisant le framework Koishi . Ce package n’est plus disponible au téléchargement sur npm.
« Commercialisé comme un outil de correction orthographique automatique, le plugin analyse chaque message à la recherche d’une chaîne hexadécimale de huit caractères », explique Kirill Boychenko, chercheur en sécurité . « Lorsqu’il en trouve une, il transmet le message complet, incluant potentiellement les secrets ou identifiants intégrés, à un compte QQ codé en dur. »
Les hexadécimaux de huit caractères représentent souvent des hachages de validation Git courts, des jetons JWT ou API tronqués, des sommes de contrôle CRC-32, des segments de GUID principaux ou des numéros de série d’appareils, chacun pouvant déverrouiller des systèmes plus vastes ou cartographier des ressources internes. En collectant l’intégralité du message, l’acteur malveillant récupère également tous les secrets, mots de passe, URL, identifiants, jetons ou identifiants environnants.