Détection de Malware sur PyPi : Vol de Tokens Discord pour Propager des Logiciels Malveillants

Plus tôt ce mois-ci, des chercheurs en sécurité ont identifié un malware PyPi qui exfiltrait les identifiants des utilisateurs, les cookies des applications et l’historique, ainsi que d’autres données sensibles. Les données de recherche indiquent que des adversaires téléchargent des paquets malveillants sur The Python Package Index (PyPI) – un vaste dépôt de paquets Python open-source. Le but est de tromper les utilisateurs pour qu’ils les téléchargent en offrant de fausses fonctionnalités et des outils Roblox. En réalité, le malware tente de voler des données stockées. Lorsqu’il s’exécute, il cible des navigateurs tels que Google Chrome, Firefox et Opera ; il compromet également Discord, injectant un agent malveillant persistant dans les processus de l’application.

Détecter le malware PyPi

Pour aider les organisations à mieux protéger leur infrastructure, notre développeur vigiant de Threat Bounty Aytek Aytemur a récemment publié la règle Sigma dédiée qui permet une détection facile du malware PyPi. Les équipes de sécurité peuvent télécharger cette et d’autres règles pertinentes depuis la plate-forme Detection as Code de SOC Prime :

Nouveau malware PyPi (via process_creation)

La règle est alignée avec le cadre MITRE ATT&CK® v.10, traitant des tactiques d’évasion de la défense et d’exécution avec Masquerading (T1036) et Scheduled Task/Job (T1053) comme techniques principales.

Appuyez sur le Voir sur la plate-forme SOC Prime pour accéder à une vaste bibliothèque de contenus de détection de menaces cybernétiques. Toutes les règles sont mappées au cadre MITRE ATT&CK, soigneusement sélectionnées et vérifiées. Les professionnels de la sécurité SOC souhaitant examiner les données de sécurité de leur organisation avec une meilleure efficacité sont invités à tirer parti des avantages du moteur de recherche de première industrie pour Threat Hunting, Threat Detection et Cyber Threat Intelligence. Pour essayer l’outil, pressez le Exploration approfondie vers le moteur de recherche bouton.

Voir sur la plate-forme SOC Prime Exploration approfondie vers le moteur de recherche

Analyse de malware PyPi

PyPi est extrêmement populaire parmi les grandes et petites organisations en tant que dépôt open source. Les acteurs menaçants exploitent la popularité de la plate-forme parmi des millions d’utilisateurs pour distribuer des paquets malveillants imitant des offres légitimes qui bénéficient aux projets basés sur Python.

Dans la vague actuelle d’attaques utilisant le dépôt comme point de lancement, les adversaires emploient différentes approches pour installer leur malware. Dans le cas de la distribution de paquets malveillants visant les hôtes Windows, le malware activé est utilisé pour voler des données disponibles et détourner les ressources Discord pour télécharger plus d’exécutables. Les noms des paquets armés sont les suivants : Free-net-vpn et Free-net-vpn2, Test-async, Ascii2text, Pyg-utils, Pymocks, PyProto2, Zlibsrc, WINRPCexploit et Browserdiv. Les chercheurs avertissent que même s’ils ont été supprimés du dépôt, de nombreux utilisateurs pourraient encore stocker les paquets dans leurs systèmes.

Plus de rapports d’adversaires exploitant PyPI pour distribuer des menaces élaborées ont récemment fait surface. Le plantage illicite de cryptomineurs, comme un moyen éprouvé d’infecter les systèmes victimes, est actuellement en hausse.

SOC Prime offre des solutions indispensables pour aider les entreprises à maintenir une protection difficile à pénétrer. Êtes-vous impatient de vous associer à des leaders du secteur et de partager vos règles Sigma et YARA pour rendre le monde plus sûr ? Rejoignez notre programme Threat Bounty pour obtenir des récompenses récurrentes pour votre contribution précieuse !