L’équipe de recherche sur les menaces de Socket a découvert des paquets Python malveillants conçus pour créer un tunnel via Gmail, selon un article de socket.dev.
Ces paquets, nommés Coffin-Codes-Pro, Coffin-Codes-NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022, Coffin-Grave et cfc-bsb, utilisent Gmail, rendant ces tentatives moins susceptibles d’être signalées par les pare-feu et les systèmes de détection de points d’extrémité, car le protocole SMTP est couramment traité comme un trafic légitime.
Une fois le tunnel créé, l’acteur de la menace peut exfiltrer des données ou exécuter des commandes que nous ne connaissons peut-être pas à travers ces paquets. L’e-mail de l’acteur de la menace est le seul indice potentiel quant à sa motivation.
Ces paquets ont depuis été retirés de l’Index des paquets Python (PyPI).
🔗 Source originale : https://socket.dev/blog/using-trusted-protocols-against-you-gmail-as-a-c2-mechanism