Pypi

L’analyse du deuxième trimestre 2025 par FortiGuard Labs met en lumière les risques significatifs de sécurité de la chaîne d’approvisionnement posés par des paquets malveillants dans les dépôts open source. Les chercheurs ont analysé plus de 1,4 million de paquets NPM et 400 000 paquets PyPI, identifiant des schémas d’attaque persistants tels que l’exfiltration de données, le vol d’identifiants et le ciblage de portefeuilles de cryptomonnaies. Les acteurs malveillants utilisent des tactiques constantes, y compris la réduction du nombre de fichiers, l’utilisation de scripts d’installation et des techniques d’obfuscation. ...

L’article publié sur le blog de PyPI informe que les utilisateurs de PyPI sont actuellement visés par une attaque de phishing. Les utilisateurs concernés sont ceux ayant publié des projets sur PyPI avec leur email dans les métadonnées des packages. Les attaquants envoient des emails intitulés “[PyPI] Email verification” depuis l’adresse noreply@pypj.org, un domaine frauduleux qui remplace le ‘i’ par un ‘j’. Ces emails incitent les utilisateurs à cliquer sur un lien menant à un faux site PyPI, où ils sont invités à se connecter. Les identifiants ainsi fournis tombent entre les mains des attaquants. ...

Imperva rapporte une attaque sophistiquée impliquant un package Python malveillant nommé ‘cloudscrapersafe’ sur PyPI. Ce package se fait passer pour un outil légitime de scraping web, mais intègre des capacités de vol de cartes de crédit. Le malware cible spécifiquement les transactions des passerelles de paiement, extrayant les numéros de cartes et les dates d’expiration avant d’exfiltrer ces données vers un bot Telegram. Cette attaque illustre les risques des attaques de la chaîne d’approvisionnement et l’importance d’une vigilance accrue lors de l’utilisation d’outils de contournement de sécurité. ...

L’équipe de recherche sur les menaces de Socket a découvert des paquets Python malveillants conçus pour créer un tunnel via Gmail, selon un article de socket.dev. Ces paquets, nommés Coffin-Codes-Pro, Coffin-Codes-NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022, Coffin-Grave et cfc-bsb, utilisent Gmail, rendant ces tentatives moins susceptibles d’être signalées par les pare-feu et les systèmes de détection de points d’extrémité, car le protocole SMTP est couramment traité comme un trafic légitime. Une fois le tunnel créé, l’acteur de la menace peut exfiltrer des données ou exécuter des commandes que nous ne connaissons peut-être pas à travers ces paquets. L’e-mail de l’acteur de la menace est le seul indice potentiel quant à sa motivation. ...