Dans une découverte préoccupante, des chercheurs en cybersécurité ont détecté sept paquets malveillants sur la plateforme de développement Python Package Index (PyPI) qui abusaient de Gmail pour exfiltrer des données sensibles et communiquer avec leurs opérateurs.
La découverte, réalisée par la société Socket, a révélé que certains de ces paquets imitent le véritable paquet Coffin, ce qui facilite leur tromperie.
Les sept paquets, qui incluent des noms comme Coffin-Codes-Pro, Coffin-Codes et Coffin-Grave, avaient accumulé plus de 55 000 téléchargements et certains d’entre eux étaient disponibles sur la plateforme depuis plus de quatre ans.
Les criminels attaquent les utilisateurs de cryptomonnaies avec un nouveau malware sur la plateforme Python
Ces paquets, une fois installés, se connectent à Gmail en utilisant des identifiants codés, ce qui leur permet de contourner la plupart des mesures de sécurité, établissant une communication avec un serveur de commande et de contrôle (C2).
La recherche indique que les attaquants, apparemment intéressés par le vol de cryptomonnaies, utilisaient des adresses e-mail contenant des termes comme « blockchain » et « bitcoin ».
Une des adresses e-mail compromises était sphacoffin@gmail.com, qui était utilisée pour envoyer des signaux indiquant que le malware était actif. Cet accès non autorisé permet aux attaquants d’envoyer des commandes, de voler des fichiers et d’exécuter du code à distance.
Face à cette menace, les experts exhortent tous les utilisateurs de Python à supprimer immédiatement les paquets malveillants et à changer les identifiants compromis.
De plus, il est recommandé de rester attentif aux connexions sortantes inhabituelles, en particulier le trafic SMTP, et de toujours vérifier l’authenticité des paquets avant leur installation. Les chercheurs soulignent l’importance de réaliser des audits réguliers des dépendances pour détecter des paquets inattendus ou malveillants à un stade précoce.