Un paquet trompeur sur le dépôt PyPI a été découvert usurpant l'identité de la populaire bibliothèque SymPy. Ce logiciel malveillant cible les systèmes Linux, téléchargeant et exécutant le mineur de cryptomonnaie XMRig via des techniques en mémoire. Les chercheurs en sécurité ont mis en lumière les risques posés par de telles attaques de chaîne d'approvisionnement dans les écosystèmes open source.
L'index des paquets Python (PyPI), un dépôt clé pour les développeurs Python, est devenu un vecteur de distribution de malwares. Des chercheurs de The Hacker News ont rapporté la découverte d'un paquet contrefait nommé «sympy-dev», conçu pour imiter la bibliothèque mathématique légitime SymPy. Lors de son installation, ce paquet ne fournit pas la fonctionnalité attendue mais déclenche plutôt une charge utile furtive. Plus précisément, le malware récupère et exécute le mineur XMRig, un outil couramment utilisé pour le minage de cryptomonnaie Monero, sur des hôtes Linux. Il utilise des méthodes d'exécution en mémoire pour échapper à la détection par les logiciels antivirus traditionnels, permettant au mineur de fonctionner sans écrire de fichiers sur le disque. Cette approche minimise les traces forensiques et complique les efforts de suppression. Ces incidents soulignent les vulnérabilités dans les chaînes d'approvisionnement logicielles, où les développeurs pourraient installer sans le savoir des dépendances compromises. La bibliothèque SymPy, largement utilisée pour les mathématiques symboliques en calcul scientifique, est une cible attractive en raison de sa popularité. Aucune victime spécifique ou impact généralisé n'a été détaillé dans le rapport, mais l'événement sert de rappel aux utilisateurs de vérifier l'authenticité des paquets et de surveiller les comportements système inhabituels. Les experts recommandent de scanner les dépendances avec des outils comme pip-audit et de maintenir les bibliothèques à jour pour atténuer ces menaces. À mesure que les plateformes open source se développent, la vigilance contre les tactiques d'usurpation d'identité reste cruciale pour préserver la confiance dans l'écosystème.