ESET Research a découvert un groupe de projets malveillants distribués via PyPI, le dépôt officiel de Python (langage de programmation). La menace cible à la fois les systèmes Windows et Linux et fournit une porte dérobée personnalisée avec des capacités de cyberespionnage. Elle permet l'exécution de commandes à distance et l'exfiltration de fichiers, et inclut parfois la possibilité de prendre des captures d'écran. Dans certains cas, la charge utile finale est une variante du célèbre W4SP Stealer. Celui-ci permet le vol des données personnelles et des informations d'identification, ou de surveiller le presse-papiers pour voler des crypto-monnaies, voir les deux.

ESET a découvert 116 fichiers dans 53 projets contenant des logiciels malveillants. Au cours de l'année écoulée, les victimes ont téléchargé ces fichiers plus de 10 000 fois. À partir de mai 2023, le taux de téléchargement était d'environ 80 par jour.

PyPI est populaire parmi les programmeurs Python car il permet le téléchargement de code tout prêt. Tout un chacun pouvantt contribuer au dépôt, des logiciels malveillants se faisant passer pour des bibliothèques de code légitimes et populaires peuvent apparaître. « Certains noms de paquets malveillants ressemblent à d'autres paquets légitimes, mais nous pensons que la principale façon dont ils sont installés par les victimes potentielles n'est pas le typosquatting, mais l'ingénierie sociale. Les victimes sont amenées à installer un paquet « intéressant » à travers l’outil PIP. », explique Marc-Étienne Léveillé, chercheur chez ESET, qui a découvert et analysé les paquets malveillants.

La plupart des paquets avaient déjà été retirés par PyPI au moment de la publication de cette recherche. ESET a communiqué avec PyPI pour prendre des mesures concernant ceux qui restent. À l'heure actuelle, tous les paquets malveillants connus sont hors ligne.

« Les développeurs Python doivent vérifier le code qu'ils téléchargent avant de l'installer sur leurs systèmes. Nous nous attendons à ce que de tels abus de PyPI se poursuivent et nous recommandons la prudence dans l'installation de code à partir d'un dépôt de logiciels public », conclut M. Léveillé.