PyPi et les paquets malveillants, une longue histoire d'amour. Checkmarx Zero a identifiiée une nouvelle campagne de paquets compromis contre les développeurs Python. L'équipe de l'éditeur a mis en évidence une action planifiée. Cette campagne concerne les utilisateurs de PyPi et NPM sur Windows et Linux. Une nouvelle fois, les hackers jouent sur la confusion des noms de paquets : colorama et colorizr. 

Les points de cette attaques sont :

• Plusieurs packages contenant des charges malveillantes ont été déposés sur PyPI avec des noms très proches de packages légitimes présents sur PyPI et NPM.
• La tactique d’utiliser un nom issu d’un écosystème (NPM) pour attaquer les utilisateurs d’un autre écosystème (PyPI) est inhabituelle.
• Ces charges malveillantes permettent un accès et un contrôle à distance persistants sur des postes et serveurs, ainsi que la collecte et l’exfiltration de données sensibles.
• Les charges malveillantes sous Windows tentent de contourner les protections antivirus et endpoint pour éviter d’être détectées.
• Ces packages ont été retirés des dépôts publics, limitant ainsi les risques immédiats.

Pour l'éditeur, la campagne commune Linux et Windows est assez nouvelle et profite de l'utilisation par les développeurs des extensions de colorisation du code. Par ces paquets malveillants, les hackers cherchent à accéder aux données de configuration, d'installer un accès distant, faire du C2 (command and control), grand classique mais toujours aussi efficace et contourner les sécurités des endpoints.