Une nouvelle campagne est sur PyPi. Checkmarx Zero a découvert une nouvelle attaque via 5 packages compromis qui ont sévis entre novembre 2025 et mai 2026. Le hacker a publié plusieurs variantes malveillantes sous des noms tels que « VLifeGram », « pyrogram-navy » et « kelragram », totalisant plus de 23 000 téléchargements avant leur suppression.

Cette campagne se distingue par son mode opératoire : aucun compte légitime n'a été compromis. Les attaquants ont plutôt misé sur des métadonnées de packages particulièrement crédibles, déployé deux techniques d'injection distinctes – l'une lors de l'importation du package, l'autre dissimulée dans le processus de démarrage des bots – et mis en place une infrastructure de commande et de contrôle (C2) s'appuyant sur Telegram, capable d'échapper aux mécanismes traditionnels de détection réseau. Potentiellement, le téléchargement d'un paquet compromis permettait d'exécuter du code distant et d'accéder aux variables d'environnement, aux clés API, etc. 

Bilan de cette campagne :

• Une sophistication croissante des attaques. Il ne s'agit pas d'un simple cas de typosquatting, mais d'une campagne menée sur six mois, reposant sur plusieurs variantes de packages, une infrastructure mutualisée et des tactiques coordonnées. Les attaquants avaient même intégré un mécanisme leur permettant d'éviter d'activer la porte dérobée sur leurs propres comptes.
• Une nouvelle évolution des attaques sur la chaîne d'approvisionnement. Cette campagne démontre qu'il n'est plus nécessaire de compromettre un compte éditeur ni d'exploiter une vulnérabilité zero-day. Des packages crédibles, une diffusion patiente et des techniques d'ingénierie sociale suffisent désormais à compromettre un grand nombre de développeurs.
• Des cibles à forte valeur stratégique. Les développeurs créant des bots Telegram déploient généralement leurs applications sur des serveurs de production disposant d'accès à des environnements cloud, des bases de données, des plateformes de paiement ou encore des API internes, autant d'actifs particulièrement recherchés par les cybercriminels.
• Une détection particulièrement complexe. La gestion silencieuse des exceptions empêche toute journalisation des erreurs. Les contrôles de type “bot-only” masquent la charge utile aux userbots. L’exfiltration de données via Telegram contourne les dispositifs de filtrage réseau, notamment les pare-feu et la surveillance DNS.

Cette nouvelle campagne montre malheureusement la fragilité de la chaine logicielle pour les développeurs. Les hackers jouent sur le typosquatting et une longue période d'action pour inciter le développeur à télécharger le paquet en multipliant les noms et les versions. 

Les recommandations :

- vérifier attentivement le nom des paquets

- vérifier l'origine des auteurs et des paquets

- auditer les requirements.txt et pyproject.toml. Si ces paquets sont inclus dans les dépendances de votre projet, supprimez-les immédiatement et remplacez-les par le paquet légitime.

Tous les détails : https://checkmarx.com/zero-post/operation-navy-ghost-pyrogram-telegram-supplychain-attack/