Plusieurs paquets Python malveillants contenant des scripts de ransomware ont t identifis, avec des noms tels que

Les chercheurs de Sonatype ont identifi plusieurs paquets Python malveillants contenant des scripts de ransomware. Les paquets sont nomms d'aprs une bibliothque lgitime et largement connue appele "Requests", avec des noms tels que "requesys", "requesrs" et "requesr", afin d'inciter les dveloppeurs installer la mauvaise version.

Ax Sharma, chercheur principal en scurit chez Sonatype, crit sur le blog de l'entreprise : "Bien que les cas d'infiltration de logiciels malveillants dans des dpts de logiciels libres ne soient pas surprenants, comme nous l'avons vu plusieurs reprises, il n'est pas frquent que des paquets de logiciels libres contiennent des ransomwares. La dernire fois que nous avons vu cela, c'tait en 2021, lorsque nous avons repr des typosquats npm lanant le ransomware MBRLocker."

L'analyse montre que les versions du paquet "requesys" contiennent des scripts qui parcourent les dossiers d'un utilisateur Windows, tels que Documents, Tlchargements et Images, et commencent crypter les fichiers.

Ce qui est intressant, c'est qu'une fois le chiffrement effectu, un message s'affiche et dirige la victime vers le serveur Discord de l'auteur du malware, o une cl de dchiffrement est disponible gratuitement. La motivation du malware n'est donc pas trs claire.

Les recherches montrent que le paquet "requesys" a t tlcharg plus de 250 fois, bien que le canal Discord ne montre que 15 messages avec des cls de chiffrement.

Autre particularit, le script malveillant ne s'excute que si le nom d'utilisateur de votre PC Windows n'est pas " GIAMI ", ce qui suggre qu'il s'agit du nom du systme de l'auteur du malware.

Sonatype a contact l'auteur de 'requesys' - qui semble tre un tudiant italien - via Discord et a t inform que le script est "compltement open source" et fait partie d'un "projet que j'ai dvelopp pour le plaisir", ajoutant "J'ai t surpris de voir quel point il tait facile de 'crer' cet exploit et quel point il tait intressant".

Le paquet "requesys" a depuis t renomm pour viter que d'autres personnes en soient victimes.

Source : Sonatype

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La bibliothque npm populaire "coa" est dtourne pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait galement compromis

Le ransomware "Hive" chiffre dsormais les systmes Linux et FreeBSD, mais cette variante du ransomware est encore bogue et ne fonctionne pas toujours

Microsoft tire la sonnette d'alarme sur un botnet Linux, le fabriquant de Windows dit avoir observ une augmentation de 254 % de l'activit d'un cheval de Troie Linux appel XorDdos