Les équipes de JFrog ont découvert un nouveau package malveillant sur PyPi qui accumulent les problèmes de sécurité : chimera-sandbox-extensions. Il se confond avec Chimera Sandbox qui sert à créer et à tester des LLM. Ce package malveillant a été conçu pour dérober des identifiants ainsi que d’autres informations sensibles, telles que la configuration de Jamf, les variables d’environnement CI/CD, les jetons AWS, et bien plus encore.

JFrog résumé ainsi la découverte :

• Le malware chimera-sandbox se distingue par son caractère hautement ciblé, s’attaquant spécifiquement aux environnements corporate et cloud afin d’exfiltrer des données sensibles telles que des jetons cloud, des informations CI/CD et des fichiers de configuration.
• Une fois exécuté, le malware établit une connexion sophistiquée avec le serveur de l’attaquant, depuis lequel il télécharge et exécute un payload Python de type infostealer.
• Ce dernier cible avec précision les données associées à l’infrastructure des entreprises, qu’il transmet ensuite au serveur distant via une requête POST.
• La logique côté serveur analyse ces informations volées afin de déterminer s’il convient de déployer un second payload, destiné à prolonger ou intensifier l’activité malveillante.
• La découverte du package chimera-sandbox-extensions illustre l’essor d’attaques avancées au sein des dépôts open source, et rappelle la nécessité d’une vigilance accrue lors de l’installation de packages tiers.
• Elle souligne également l’importance pour les équipes de sécurité de mettre en place une surveillance continue et de réagir rapidement face aux menaces identifiées.
• Il est vivement recommandé aux utilisateurs concernés de révoquer immédiatement tout jeton compromis et de supprimer le package malveillant. JFrog Xray a d’ores et déjà été mis à jour pour détecter ce package.