Des hackers se servent de Stack Overflow pour répandre des malwares

Mélina LOUPIA
Publié le 02 juin 2024 à 19h12
Un malware se cache sur Stack Overflow © Dennis Diatel / Shutterstock
Un malware se cache sur Stack Overflow © Dennis Diatel / Shutterstock

Des cybercriminels se font passer pour des utilisateurs bienveillants sur Stack Overflow dans le but de promouvoir des packages Python malveillants. Une fois installés, ces derniers téléchargent des programmes malveillants capables de voler des données sensibles sur les ordinateurs des victimes.

Une nouvelle vague de cyberattaques prend d'assaut la populaire plateforme de questions-réponses Stack Overflow, exploitant la confiance des développeurs. Les hackers répondent à des questions en recommandant l'installation de packages Python apparemment inoffensifs, mais qui cachent en réalité du code malveillant.

Lorsqu'un développeur innocent suit ces conseils, le package télécharge et exécute un programme malveillant capable de voler des informations précieuses sur l'ordinateur de la victime. Cette campagne malveillante, baptisée « Cool package », sévit depuis l'année dernière et cible principalement les utilisateurs Windows.

Meilleur antivirus, le comparatif en juin 2024
A découvrir
Meilleur antivirus, le comparatif en juin 2024

04 juin 2024 à 17h42

Comparatifs services

Le succès de Stack Overflow et la confiance des utilisateurs font d'elle une cible de choix pour les hacker qui déploient le package Python vérolé « pytoileur »

Stack Overflow est une plateforme incontournable pour les développeurs à la recherche d'aide sur des problèmes de codage. Sa grande communauté et sa réputation de fiabilité en font une cible de choix pour les cybercriminels désireux de propager leurs logiciels malveillants.

Dans cette récente campagne, un compte fictif « EstAYA G » a été créé pour répondre à des questions de débogage. Il recommandait ainsi l'installation d'un package Python nommé « pytoileur ». Bien que présenté comme un outil de gestion d'API, ce package contient en réalité du code malveillant en base64 et dissimulé par des espaces superflus.

Lorsqu'un développeur non averti suit les instructions et installe « pytoileur », le code malveillant déguisé se déclenche. Il télécharge un exécutable nommé « Runtime.exe » depuis un serveur distant contrôlé par les attaquants. Cet exécutable est en vérité un programme Python converti qui installe un cheval de Troie sur l'ordinateur de la victime.

Cette tactique d'utiliser Stack Overflow pour promouvoir des logiciels malveillants est particulièrement insidieuse. Elle exploite la confiance et l'autorité dont jouit la plateforme auprès des développeurs, qui s'attendent à y trouver de l'aide légitime. En se faisant passer pour des utilisateurs bienveillants, les hackers augmentent leurs chances de tromper leurs victimes.

De plus, le typosquatting (l'utilisation de noms similaires à des packages légitimes, comme lors de la campagne qui avait touché Zoom, Meet et Skype), et l'obscurcissement du code malveillant rendent la détection plus difficile. Même un examen superficiel du code pourrait ne pas révéler les véritables intentions malveillantes.

"Pytoiler" est un redoutable infostealer © Bits And Splits / Shutterstock

« pytoiler », cheval de Troie multitâche et infostealer redoutable qui pille les données, les mots de passe enregistrés, les coordonnées bancaires et les portefeuilles crypto

Une fois installé sur l'ordinateur de la victime, le cheval de Troie déployé par « pytoileur » peut faire toute une variété d'actions malveillantes visant à voler des informations sensibles. Premièrement, il assure sa persistance sur le système en modifiant les paramètres du registre Windows. Il déploie également des mesures anti-détection pour tenter d'échapper à l'analyse des chercheurs en sécurité et des solutions antivirus.

Son objectif principal est cependant le vol d'informations. Le malware cible les données stockées dans les navigateurs web populaires comme Google Chrome, Brave et Firefox. Il tente d'extraire les cookies, les mots de passe enregistrés, l'historique de navigation et même les informations de carte de crédit.

Mais ce n'est pas tout. Le cheval de Troie cherche également des données liées aux services de finance et de crypto-monnaies tels que Binance, Coinbase, Exodus Wallet, PayPal, Payoneer, PaySafeCard, Crypto.com et Skrill. S'il trouve des informations d'identification ou des portefeuilles de crypto-monnaies, il les vole sans scrupule.

Les capacités de surveillance du malware vont même jusqu'à activer la webcam de la victime, enregistrer les frappes au clavier (keylogger) et prendre des captures de l'écran. Toutes ces données précieuses sont ensuite exfiltrées vers les serveurs des attaquants.

Pour se protéger, les utilisateurs doivent faire preuve d'une extrême prudence lorsqu'ils suivent des conseils en ligne, même sur des plateformes réputées comme Stack Overflow, et peut-être même surtout lorsque les sites ou plateformes sont parmi les plus populaires.

Comme toujours, prudence et bonnes pratiques sont de rigueur. Avant d'installer un package tiers, il est essentiel de vérifier sa source, ses avis et son code source pour voir s'il y a d'éventuels comportements suspects. Garder un logiciel antivirus à jour est également recommandé. En cas d'infection, il est conseillé de changer immédiatement tous les mots de passe sensibles et de surveiller les activités suspectes sur les comptes en ligne.

  • Refonte graphique de l'interface réussie
  • Snap amélioré
  • Groupes d'ancrage efficaces
  • Gestion affinée des bureaux virtuels

Windows 11 de Microsoft redéfinit l'expérience utilisateur avec une interface repensée, des widgets personnalisables et une intégration renforcée de Microsoft Teams. Chaque innovation vise à optimiser et enrichir l'utilisation quotidienne de votre appareil. Que vous soyez professionnel, créateur ou utilisateur lambda, Windows 11 répond à vos besoins en alliant efficacité et plaisir d'utilisation.

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
Jasmin

Je commence avoir de plus en plus de doute que tout ces pirates soit des pirates du Dimanche, vu leurs expertises je pense que se sont des puissances derrières ça , toutes sans exception .

SPH

Toujours télécharger des logiciels sur les sites officiels et ne pas trop être curieux… :sweat_smile:

juju251

En l’occurrence, il vaut mieux être curieux justement et lire le ou les scripts récupérés avant de les lancer pour vérifier ce qu’ils font.

epi2mais

C’était sur PyPi : le dépôt officiel

epi2mais

Je doute que beaucoup de monde lise le code des paquetages qu’ils téléchargent !!
Ca représente souvent des milliers de fichiers…
C’est bien pour ça que la communauté garde un œil très vigilant sur ce qui est mis à disposition.
En l’occurrence ici, c’est le maintainer du paquetage qui a laissé le truc lui passer sous le nez. Et c’est pas la première fois que ça arrive : sur npm ils avaient eu un problème similaire avec des paquets qui pirataient les comptes discord. Même certains réputés comme carré de chez carré, genre debian, ne sont pas à l’abri.
Ou encore je me souviens qu’il y a avait eu un controverse quand plusieurs maintainer avait décidé d’introduire des messages de soutien à l’Ukraine dans les paquets open source qu’ils géraient - politisant ainsi un espace qui pour beaucoup n’avait pas lieu de l’être. L’un d’eux (node-ipc) avait carrément mis un malware - c’est bien le cas ici - qui détruisait/remplaçait des fichiers sur toute machine identifiée comme Russe…