Pour bloquer une campagne malveillante, PyPI a désactivé temporairement la création de comptes !
Si vous avez l'habitude d'utiliser Python ou des projets codés en Python, vous connaissez probablement PyPI puisqu'il s'agit du référentiel officiel pour les projets Python. Ce 28 mars 2024, pendant plus de 10 heures, il n'était plus possible de s'inscrire : pourquoi ? La réponse dans cet article !
Pour les développeurs Python, PyPI est assurément incontournable ! Et, pour preuve, il référence des milliers de projets Python associés à des paquets divers et variés, plus ou moins populaires. Forcément, cette popularité fait de PyPI une cible attractive pour les cybercriminels, où ces derniers n'hésitent pas à charger de faux paquets malveillants ou à utiliser la technique du typosquatting pour tenter de piéger des utilisateurs.
D'ailleurs, c'est à cause d'une campagne malveillante que la Python Software Foundation a pris la décision d'empêcher temporairement la création de nouveaux comptes utilisateurs. Cette décision a pour objectif de limiter les activités malveillantes. En effet, un rapport mis en ligne par Checkmarx mentionne une importante campagne malveillante : en quelques heures, les pirates ont chargé sur PyPI un ensemble de 365 paquets différents, dont les noms imitent des projets légitimes.
À chaque fois, chacun de ces paquets contient un fichier "setup.py" malveillant qui, lors de l'installation, tente de se connecter à un serveur distant pour récupérer un logiciel malveillant de type info-stealer ! Ainsi, si un développeur ou un autre utilisateur télécharge et installe ce paquet malveillant, il récupère au passage un malware voleur de données qui se fera un plaisir d'exfiltrer les données mémorisées dans les navigateurs (identifiants, mots de passe, cookies, portefeuilles de cryptomonnaies).
Une campagne automatisée
Dans le cas présent, les pirates ont automatisé cette attaque : chaque compte PyPI est utilisé pour télécharger un seul paquet, et à chaque fois, un nom d'utilisateur et une adresse e-mail différents sont utilisés. Ainsi, il est plus difficile de faire une opération de nettoyage. Le script malveillant, quant à lui, est toujours le même : une preuve qu'il s'agit d'une campagne initiée par le même acteur malveillant.
C'est probablement pour cette raison que PyPI a pris la décision de bloquer les inscriptions ! Désormais, le problème est "résolu" et il est possible de s'inscrire de nouveau. Ceci signifie que ce jeudi 28 mars 2024, il n'était plus possible de s'inscrire entre 03h16 et 13h56, heure française.
Ce n'est pas la première fois que cela se produit, puisqu'une telle décision a été prise le 20 mai 2023. L'objectif étant de protéger les membres de la communauté Python.
