Le référentiel officiel de packages logiciels Python, PyPI, est inondé de packages de spam, comme le voit BleepingComputer.
Ces packages portent le nom de différents films dans un style généralement associé aux torrents et aux sites « warez » hébergeant du contenu piraté.
Chacun de ces paquets est publié par un compte de mainteneur pseudonyme unique, ce qui rend difficile pour PyPI de supprimer les paquets et les comptes de spam en même temps.
PyPI est inondé de packages de spam
PyPI est inondé de paquets de spam nommés d’après des films populaires dans un style généralement associé aux sites torrent ou « warez » qui fournissent des téléchargements piratés: watch- (movie-name) -2021-full-online-movie-free-hd-…
La découverte a été révélée quand Adam Boesch, ingénieur logiciel senior chez Sonatype, a audité un ensemble de données et a remarqué un composant PyPI au son drôle nommé d’après une sitcom télévisée populaire.
« Je regardais l’ensemble de données et j’ai remarqué ‘wandavision’, ce qui est un peu étrange pour un nom de paquet. »
«En regardant de plus près, j’ai trouvé ce paquet et je l’ai recherché sur PyPI parce que je n’y croyais pas», a déclaré Boesch à BleepingComputer dans une interview.
Le référentiel PyPI est inondé de packages de spam depuis quelques semaines
Source : BleepingComputer
Bien que certains de ces packages datent de quelques semaines, BleepingComputer a observé que les spammeurs continuaient d’ajouter des packages plus récents à PyPI, il y a à peine une heure.
Le nombre de résultats de recherche de « 10 000+ » pourrait être inexact, car nous avons observé que le nombre réel de paquets de spam affichés sur le référentiel PyPI était bien inférieur.
La page Web de ces faux paquets contient des mots-clés de spam et des liens vers des sites de streaming de films, bien que leur légitimité et légalité douteuses, telles que :
https: // besflix[.]com / movie / XXXXX / profile.html
Voici un exemple des nombreux packages publiés il y a environ une heure, au moment de la rédaction de cet article :
Les spammeurs continuent d’inonder PyPI aujourd’hui, au moment de la rédaction de cet article
Source : BleepingComputer
BleepingComputer a également observé que chacun de ces paquets était publié par un compte auteur distinct (mainteneur) utilisant un pseudonyme, ce qui rendra probablement difficile pour les administrateurs PyPI de supprimer ces paquets.
En février de cette année, PyPI avait été inondé de faux keygens « Discord », « Google » et « Roblox » lors d’une attaque massive de spam, comme le rapporte ZDNet.
À l’époque, Ewa Jodlowska, directrice exécutive de la Python Software Foundation avait déclaré à ZDNet que les administrateurs de PyPI travaillaient sur la résolution de l’attaque de spam, cependant, de par la nature de pypi.org, n’importe qui pouvait publier dans le référentiel, et de telles occurrences commun.
Les packages contiennent du code provenant de composants PyPI légitimes
En plus de contenir des mots-clés de spam et des liens vers des sites de quasi-streaming vidéo, ces packages contiennent des fichiers avec du code fonctionnel et des informations sur l’auteur provenant de packages PyPI légitimes.
Par exemple, BleepingComputer a observé que le package de spam « watch-army-of-the-dead-2021-full-online-movie-free-hd-quality » contenait des informations sur l’auteur et du code du package PyPI légitime, « jedi- serveur de langue. »
À l’intérieur des packages de spam PyPI se trouve du code emprunté à des composants réels
Source : BleepingComputer
les acteurs malveillants ont combiné le code de paquets légitimes avec des paquets autrement faux ou malveillants pour masquer leurs traces et rendre la détection de ces paquets un peu plus difficile.
« Ce n’est pas rare dans d’autres écosystèmes comme npm, où vous avez des millions de paquets. Heureusement, des paquets comme ceux-ci sont assez faciles à repérer et à éviter. » « Toujours une bonne idée d’étudier un paquet avant de l’utiliser. Si quelque chose ne va pas, il y a un raison pour cela », sourit Boesch.
Ces derniers mois, les attaques contre les écosystèmes open source comme npm, RubyGems et PyPI se sont intensifiées.
Les acteurs de la menace ont été surpris en train d’inonder les référentiels de logiciels avec des logiciels malveillants, des copieurs de confusion de dépendance malveillants ou simplement des packages d’autodéfense pour diffuser leur message.
En tant que tel, la sécurisation de ces référentiels s’est transformée en une course folle entre les acteurs de la menace et les mainteneurs de référentiels.
BleepingComputer a contacté PyPI pour obtenir des commentaires avant de publier et nous attendons sa réponse.