Les cybercriminels redoublent d’ingéniosité pour tromper leurs victimes. On connaissait la méthode du malvertising, cette technique utilisant les publicités en ligne pour diffuser des liens vers des malwares, et infecter les utilisateurs ciblés. Mais là, la méthode est un cran au dessus. En effe, récemment, des hackers ont utilisé la plateforme populaire Stack Overflow pour diffuser des malwares via des packages Python malveillants. On vous explique comment ces attaques sont menées, leurs conséquences, et les mesures à prendre pour se protéger.
Une campagne malveillante sur Stack Overflow
Les hackers se font passer pour des utilisateurs bienveillants sur Stack Overflow, recommandant des packages Python apparemment inoffensifs mais en réalité malveillants. Une fois installés, ces packages téléchargent et exécutent des programmes capables de voler des données sensibles sur les ordinateurs des victimes.
Cette campagne, baptisée « Cool package », sévit depuis l’année dernière et cible principalement les utilisateurs Windows. Stack Overflow, en tant que plateforme de confiance pour les développeurs, est une cible de choix pour ces cybercriminels. La confiance des utilisateurs dans les réponses fournies rend l’attaque particulièrement efficace.
Le package Python « pytoileur » : un cheval de Troie déguisé
Dans cette récente campagne, les hackers ont créé un compte fictif « EstAYA G » pour répondre à des questions de débogage. Ils recommandaient l’installation de « pytoileur », présenté comme un outil de gestion d’API. En réalité, ce package contient du code malveillant en base64, dissimulé par des espaces superflus.
Lorsque les développeurs installent « pytoileur », le code malveillant se déclenche et télécharge un exécutable nommé « Runtime.exe » depuis un serveur distant contrôlé par les attaquants. Cet exécutable, un programme Python converti, installe un cheval de Troie sur l’ordinateur de la victime.
Cette méthode d’attaque est particulièrement vicieuse car elle exploite la confiance des développeurs envers Stack Overflow. Les hackers, en se faisant passer pour des utilisateurs bienveillants, augmentent leurs chances de tromper leurs victimes. De plus, l’obscurcissement du code malveillant et le typosquatting rendent la détection plus difficile.
Les dangers du cheval de Troie « pytoileur »
Une fois installé, le cheval de Troie déployé par « pytoileur » réalise diverses actions malveillantes pour voler des informations sensibles. Il modifie les paramètres du registre Windows pour assurer sa persistance et déploie des mesures anti-détection pour échapper à l’analyse des logiciels de sécurité et des antivirus.
À la différence d’un ransomware à double extorsion, qui vise à mener en bateau une entreprise, pour à la fois lui débloquer l’accès à ses données, puis le menacer de diffuser ses données sur Internet, le malware dont il est question ici cible les navigateurs web populaires comme Google Chrome, Brave et Firefox, en extrayant les cookies, les mots de passe enregistrés, l’historique de navigation et les informations de carte de crédit. Il cherche également des données liées aux services financiers et de crypto-monnaies comme Binance, Coinbase, Exodus Wallet, PayPal et Crypto.com.
Les capacités de surveillance du malware vont jusqu’à activer la webcam de la victime, enregistrer les frappes au clavier (keylogger) et prendre des captures d’écran. Toutes ces données précieuses sont ensuite exfiltrées vers les serveurs des attaquants.
Pour se protéger, les utilisateurs doivent être extrêmement prudents lorsqu’ils suivent des conseils en ligne, même sur des plateformes réputées comme Stack Overflow. Il faut vérifier la source, les avis et le code source des packages tiers avant de les installer. Garder un logiciel antivirus à jour est également recommandé. En cas d’infection, il est conseillé de changer immédiatement tous les mots de passe sensibles (quand on sait qu’un mot de passe à 8 caractères est facilement piratable, il est recommandé de complexifier son mot de passe), et de surveiller les activités suspectes sur les comptes en ligne.