Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Des packages Python malveillants révèlent une vaste opération cybercriminelle basée en Irak

juillet 2024 par Checkmarx

Une série de packages Python malveillants ont récemment fait surface sur PyPI, téléchargés par un utilisateur nommé « dsfsdfds ». Ces paquets contenaient un script malveillant situé dans le fichier __init__.py. Ils exfiltraient des données sensibles d’utilisateurs vers un chat de bot Telegram sans leur consentement.

Contenant plus de 90 000 messages, principalement en arabe, le bot Telegram dont les activités remontent à 2022 est lié à de multiples opérations cybercriminelles basées en Irak. Le bot fonctionne également comme un marché clandestin offrant des services de manipulation des réseaux sociaux, est lié à de la fraude financière, et exploite les victimes compromises via les packages PyPI malveillants.
Un certain nombre de facteurs contribuent à l’importance de cette campagne :
1. Sa longévité - Le bot Telegram associé à cette opération est actif depuis longtemps (depuis au moins 2022), ce qui indique une menace bien établie et persistante.
2. Son échelle - plus de 90 000 messages dans le chat Telegram démontrent un fort niveau d’activité
3. Sa diversification - L’écosystème combine diverses activités malveillantes à travers le temps : fraude financière, exfiltration de données par le biais de packages PyPI malveillants, usurpation d’identité possible (compte tenu des types de données volées) et des services de manipulation des médias sociaux.
Ce vecteur d’attaque particulier ne se limite pas aux utilisateurs finaux et peut également avoir un impact sur les entreprises.
Par exemple, si un développeur utilise sans le savoir un package compromis, il peut introduire des vulnérabilités dans les projets logiciels de son organisation.

CONCLUSION
La découverte des paquets Python malveillants sur PyPI et l’enquête qui a suivi sur le bot Telegram ont mis en lumière une opération cybercriminelle sophistiquée et généralisée. Ce qui semblait initialement être un incident isolé s’est avéré n’être que la partie émergée de l’iceberg, révélant l’existence d’un écosystème criminel bien établi basé en Irak.
La collaboration et le partage d’informations au sein de l’écosystème cyber sont essentiels pour identifier et contrer ces attaques. Grâce à un effort collectif et à des mesures proactives, il est possible d’œuvrer à un écosystème open source plus sûr pour tous.


Voir les articles précédents

    

Voir les articles suivants