Le référentiel officiel de packages logiciels Python PyPI est attaqué par des acteurs de la menace qui ont commencé à l’inonder de packages de spam selon un nouveau rapport de BleepingOrdinateur.
Ces paquets de spam utilisent un style de dénomination qui est généralement associé aux torrents et autres contenus piratés en ligne où le nom de chaque paquet contient le titre d’un film, l’année en cours et les mots en ligne et gratuits comme cette «watch-army-of-the-dead -2021-full-online-movie-free-hd-quality ».
Ingénieur logiciel senior chez Sonatype, Adam Boesch a découvert ces paquets suspects pour la première fois lorsqu’il a trouvé un composant PyPI nommé d’après une émission de télévision populaire. Boesch a fourni un aperçu supplémentaire de sa découverte dans une interview avec BleepingCalculerr, en disant:
« J’étais en train de parcourir l’ensemble de données et j’ai remarqué ‘wandavision’, ce qui est un peu étrange pour un nom de paquet. En regardant de plus près, j’ai trouvé ce paquet et je l’ai recherché sur PyPI parce que je n’y croyais pas. Ce n’est pas rare dans d’autres écosystèmes comme npm , où vous avez des millions de packages. Les packages comme ceux-ci sont heureusement assez faciles à repérer et à éviter. »
Sommaire
Paquets de spam
En plus des mots-clés de spam et des liens vers des sites de streaming vidéo illégaux, les packages de spam trouvés sur PyPI contiennent également des fichiers avec du code fonctionnel et des informations sur l’auteur volés à des packages logiciels Python légitimes.
Lorsque BleepingOrdinateur a découvert un package de spam intitulé «watch-army-of-the-dead-2021-full-online-movie-free-hd-quality» et l’a enquêté, le média a constaté qu’il contenait des informations sur l’auteur ainsi que du code du Package PyPI «jedi-language-server».
Alors que de nombreux packages portant le même nom étaient faciles à trouver grâce à une recherche de « full-online-movie-free » sur PyPI, au moment de la rédaction de cet article, il semble que les responsables du référentiel Python Package Index aient nettoyé la plupart des pourriel.
Cependant, les développeurs Python à la recherche de nouveaux packages sur le référentiel doivent faire preuve de prudence s’ils décident de télécharger et d’ouvrir l’un de ces packages de spam, car ils pourraient probablement contenir des logiciels malveillants ou d’autres codes malveillants.
Via BleepingComputer
