- Des chercheurs en sécurité ont trouvé trois forfaits PYPI malveillants
- Les packages avaient environ 7 000 téléchargements
- Ils ont été conçus pour vérifier les comptes de messagerie actifs
Les chercheurs en sécurité ont trouvé certains des outils que les cybercriminels utilisent pour voler les comptes Instagram et Tiktok des gens – sur PYPI.
L’indice de package Python (PYPI), l’un des plus grands référentiels du code Python au monde, est souvent abusé de Holst Maliness Code, ou trompe les développeurs de logiciels dans le téléchargement et l’exécution du code contaminé dans leurs projets.
Dans ce cas, des chercheurs en sécurité de Socket ont trouvé trois packages, nommés «Checker-Sagaf», «Steinlurks» et «Sinnercore». Cumulativement, ces trois ont eu environ 7 000 téléchargements avant d’être retirés de la plate-forme.
Farce des informations d’identification et pulvérisation de mot de passe
Les deux premiers ont agi en tant que validateurs d’adresses e-mail, références croisées ont fourni des adresses e-mail avec les API Tiktok et Instagram, pour voir s’ils sont associés à des comptes sur la plate-forme. Bien que simplement vérifier si une adresse e-mail est valide ne semble pas être particulièrement nocive, il s’agit d’une étape importante dans l’activité cybercriminale, ont expliqué les chercheurs.
“Une fois que les acteurs de la menace ont ces informations, juste à partir d’une adresse e-mail, ils peuvent menacer Dox ou Spam, effectuer de fausses attaques de rapport pour faire suspendre les comptes, ou confirmer uniquement les comptes cibles avant de lancer une farce des informations d’identification ou un exploit de pulvérisation de mot de passe”, a déclaré Olivia Brown de Socket.
“Les listes d’utilisateurs validées sont également vendues sur le Web Dark à but lucratif. Il peut sembler inoffensif de construire des dictionnaires d’e-mails actifs, mais ces informations permettent et accélère des chaînes d’attaque entières et minimise la détection en ne ciblant que des comptes connus.”
Le troisième package, «SinnerCore», déclenche le flux «Mot de passe oublié» pour un nom d’utilisateur donné sur Instagram.
La nouvelle survient environ un mois après que les chercheurs ont trouvé deux forfaits malveillants sur PYPI, se faisant passer pour un ensemble populaire et légitime. Le malware a été conçu pour voler la crypto-monnaie des gens, qui est un vecteur d’attaque populaire sur le PYPI. Dans ce cas, le package légitime est utilisé dans la construction de «portefeuilles chauds» – portefeuilles logiciels pour les crypto-monnaies. En dépit d’être des logiciels malveillants évidents, les deux packages ont quand même réussi à ratifier plus de 37 000 téléchargements avant d’être tirés.
Via The Hacker News
