Python

L’article publié par Securonix Threat Research met en lumière une campagne de malware sophistiquée appelée SERPENTINE#CLOUD. Cette campagne utilise les tunnels Cloudflare pour diffuser des charges utiles malveillantes. Les attaquants emploient des fichiers .lnk pour initier la chaîne d’infection, se terminant par un chargeur shellcode basé sur Python. Les fichiers de raccourci (.lnk) sont envoyés via des e-mails de phishing, souvent déguisés en documents liés à des arnaques de paiement ou de factures. Une fois exécutés, ces fichiers déclenchent une séquence d’infection complexe utilisant des scripts batch, VBScript et Python, pour finalement déployer un payload PE emballé par Donut en mémoire. ...

L’article publié par Safety CLI Cybersecurity Inc. le 2 juin 2025, détaille une campagne de malware ciblant l’écosystème de la cryptomonnaie Solana. Entre le 4 et le 24 mai 2025, un acteur malveillant a publié 11 packages Python malveillants sur le registre PyPI, conçus pour voler du code source, des cryptomonnaies et d’autres données sensibles. La campagne s’est déroulée en quatre itérations distinctes, chacune utilisant un payload différent pour exfiltrer des données vers des adresses IP spécifiques hébergées en Russie. Le premier payload, prices.py, a été utilisé dans six packages publiés entre le 4 et le 20 mai, exfiltrant des fichiers Python vers une adresse IP spécifique. Les itérations suivantes ont introduit de nouveaux fichiers payload (helpers.py, coins.py, markets.py) avec des destinations d’exfiltration différentes. ...

L’actualité rapportée par Checkmarx Zero met en lumière une campagne malveillante ciblant les utilisateurs de Python et NPM. Cette campagne utilise des techniques de typo-squatting et de confusion de noms pour tromper les utilisateurs en téléchargeant des packages malveillants. Les packages malveillants ont été identifiés sur PyPI et NPM, utilisant des noms similaires à des packages légitimes comme colorama et colorizr. Cette approche inclut l’utilisation de noms d’un écosystème pour attaquer un autre, une tactique inhabituelle. ...

L’équipe de recherche de CYFIRMA a découvert un nouveau ransomware nommé Lyrix lors de la surveillance de forums clandestins, dans le cadre de leur processus de découverte de menaces. Ce ransomware est développé en Python et compilé avec PyInstaller, ce qui lui permet de fonctionner comme un exécutable autonome sur les systèmes Windows. Il utilise une encryption forte et ajoute une extension unique ‘.02dq34jROu’ aux fichiers chiffrés. Lyrix se distingue par ses techniques d’évasion avancées et ses mécanismes de persistance, rendant sa détection et sa suppression difficiles. Il obfusque ses comportements malveillants, contourne les systèmes de détection basés sur des règles, et menace de divulguer les données volées sur des forums clandestins. ...

L’équipe de recherche sur les menaces de Socket a découvert des paquets Python malveillants conçus pour créer un tunnel via Gmail, selon un article de socket.dev. Ces paquets, nommés Coffin-Codes-Pro, Coffin-Codes-NET2, Coffin-Codes-NET, Coffin-Codes-2022, Coffin2022, Coffin-Grave et cfc-bsb, utilisent Gmail, rendant ces tentatives moins susceptibles d’être signalées par les pare-feu et les systèmes de détection de points d’extrémité, car le protocole SMTP est couramment traité comme un trafic légitime. Une fois le tunnel créé, l’acteur de la menace peut exfiltrer des données ou exécuter des commandes que nous ne connaissons peut-être pas à travers ces paquets. L’e-mail de l’acteur de la menace est le seul indice potentiel quant à sa motivation. ...