Microsoft met en garde contre une campagne de malvertisation touchant plus d'un million d'appareils - Actus du 07/03/2025
Découvrez comment les États-Unis s'attaquent au blanchiment d'argent avec Garantex, les dangers d'une simple webcam piratée pour une entreprise entière, et l'utilisation du chargeur Ragnar par Fin7 et Fin8 pour des cyberattaques sophistiquées. Ne ratez pas notre analyse complète !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les États-Unis accusent les administrateurs de Garantex avec blanchiment d'argent, sanctionne les violations
Les administrateurs de la plateforme d'échange de cryptomonnaies russe Garantex, Aleksej Besciokov et Aleksandr Mira Serda, ont été inculpés aux États-Unis pour blanchiment d'argent et violations de sanctions. Entre 2019 et 2025, Garantex aurait traité au moins 96 milliards de dollars en transactions cryptographiques, facilitant des activités criminelles telles que le hacking, le ransomware, le trafic de drogue et le terrorisme. Besciokov, responsable technique, et Mira Serda, co-fondateur, sont accusés d'avoir pris des mesures pour dissimuler l'implication de Garantex dans ces activités illégales. Le ministère américain de la Justice a saisi les domaines et serveurs de Garantex, gelant plus de 26 millions de dollars liés au blanchiment d'argent. La plateforme a suspendu ses services après que Tether a bloqué ses portefeuilles numériques en raison de sanctions de l'Union européenne. Garantex avait déjà été sanctionnée par le département du Trésor américain en avril 2022, après que des transactions ont été liées à des marchés darknet. Malgré la perte de sa licence en Estonie pour non-conformité aux réglementations AML/CFT, Garantex a continué à opérer.
Sources :
Une simple webcam piratée a mis en panne toute une entreprise
Une récente cyberattaque par ransomware, orchestrée par le groupe de hackers Akira, a révélé une vulnérabilité dans une entreprise via une webcam obsolète. Selon un rapport de S-RM publié le 5 mars, les cybercriminels ont d'abord tenté une attaque classique par phishing, mais celle-ci a été bloquée par les mesures de sécurité de l'entreprise. En explorant le réseau, ils ont découvert que la webcam, non surveillée, diffusait son flux vidéo sans protection, leur permettant d'accéder au serveur de l'entreprise. Les hackers ont réussi à chiffrer un grand nombre de fichiers avant de demander une rançon. Ce cas souligne l'importance de la cybersécurité des objets connectés, souvent négligés. Les experts recommandent plusieurs mesures préventives : isoler les appareils connectés des réseaux sensibles, appliquer régulièrement les mises à jour de sécurité, et restreindre les accès en désactivant les fonctions inutiles. Cette attaque met en lumière la nécessité d'une vigilance accrue face aux menaces potentielles que représentent les dispositifs connectés, qui peuvent servir de porte d'entrée pour des cyberattaques. Les entreprises doivent donc renforcer leur sécurité pour éviter de telles intrusions.
Sources :
Fin7, Fin8 et d'autres utilisent le chargeur Ragnar pour des opérations d'accès persistant et de ransomware
Des chercheurs en cybersécurité ont mis en lumière un "kit malveillant sophistiqué et évolutif" appelé Ragnar Loader, utilisé par divers groupes de cybercriminalité et de ransomware, tels que Ragnar Locker, FIN7, FIN8 et Ruthless Mantis. Selon la société suisse PRODAFT, Ragnar Loader est essentiel pour maintenir l'accès aux systèmes compromis, permettant aux attaquants de rester dans les réseaux sur le long terme. Bien qu'il soit lié au groupe Ragnar Locker, il n'est pas clair s'ils en sont propriétaires ou s'ils le louent à d'autres. Documenté pour la première fois par Bitdefender en août 2021, Ragnar Loader a été utilisé depuis 2020 et a été associé à des attaques récentes, notamment par FIN8 pour déployer le ransomware BlackCat. Ce malware utilise des charges utiles basées sur PowerShell, des méthodes de cryptage robustes et des stratégies d'injection de processus pour échapper à la détection. Offert sous forme de package d'archive, il permet aux affiliés d'accéder à distance aux systèmes infectés via un panneau de commande. Ragnar Loader illustre la complexité croissante des écosystèmes de ransomware modernes, intégrant des techniques avancées d'obfuscation et de mouvement latéral au sein des réseaux ciblés.
Sources :
Violation de données au géant des télécommunications japonais NTT frappe 18 000 entreprises
NTT Communications Corporation, un fournisseur de services de télécommunications japonais, a averti près de 18 000 clients d'entreprise que leurs informations avaient été compromises lors d'une cyberattaque. La violation de données a été découverte début février 2025, bien que la date d'accès initial des hackers reste indéterminée. Le 5 février, NTT a constaté un accès non autorisé à ses systèmes, et le lendemain, il a confirmé que certaines informations avaient pu être divulguées. Les hackers ont pénétré le système de distribution d'informations de commande, exposant des données telles que le nom des clients, les coordonnées et des informations sur l'utilisation des services. Les contrats de smartphones d'entreprise fournis par NTT Docomo n'ont pas été affectés. Bien que NTT ait rapidement bloqué l'accès des attaquants, une enquête a révélé qu'ils avaient pivoté vers un autre appareil sur le réseau, qui a également été déconnecté. NTT a décidé de ne pas envoyer de notifications personnalisées aux clients touchés, se contentant d'une annonce publique sur son site. Ce n'est pas la première fois que NTT fait face à des cyberattaques, ayant déjà subi des interruptions de service et des violations de données dans le passé.
Sources :
Microsoft met en garde contre la campagne de malvertisation infectant plus d'un million d'appareils dans le monde
Microsoft a révélé les détails d'une vaste campagne de malvertising, estimée avoir touché plus d'un million d'appareils dans le monde, visant à voler des informations sensibles. Détectée début décembre 2024, cette attaque, nommée Storm-0408, est orchestrée par des acteurs malveillants utilisant des sites de streaming illégaux pour rediriger les utilisateurs vers des plateformes comme GitHub, où des malwares sont hébergés. Les organisations touchées incluent des dispositifs tant consommateurs qu'entreprises, soulignant la nature indiscriminée de l'attaque. Les dépôts GitHub utilisés pour livrer des malwares ont été supprimés, bien que Microsoft n'ait pas précisé combien. La campagne utilise une chaîne de redirection complexe et un processus d'infection en plusieurs étapes, impliquant la découverte du système, la collecte d'informations et l'exfiltration de données. Des scripts PowerShell sont également employés pour télécharger des malwares comme NetSupport RAT, ciblant notamment les portefeuilles de cryptomonnaies. Parallèlement, Kaspersky a signalé des sites frauduleux se faisant passer pour des chatbots d'IA, incitant les utilisateurs à installer un voleur d'informations Python. Les cybercriminels exploitent divers moyens pour attirer les victimes vers ces ressources malveillantes.
Sources :
Microsoft: les pirates nord-coréens rejoignent le gang de ransomware Qilin
Microsoft a récemment signalé que le groupe de hackers nord-coréen Moonstone Sleet a commencé à déployer des charges de ransomware Qilin dans un nombre limité d'attaques depuis fin février 2025. Ce groupe, auparavant connu sous le nom de Storm-1789, a évolué pour utiliser ses propres tactiques et outils, après avoir initialement opéré en parallèle avec d'autres groupes nord-coréens. Moonstone Sleet cible des organisations financières et d'espionnage, utilisant des logiciels piégés, des chargeurs de malware personnalisés et des entreprises fictives pour interagir avec des victimes potentielles. Le gang Qilin, actif depuis août 2022, a revendiqué plus de 310 victimes, y compris des entreprises majeures comme Yangfeng et Lee Enterprises. Les demandes de rançon varient de 25 000 dollars à plusieurs millions, en fonction de la taille des victimes. En décembre 2023, Qilin a commencé à déployer un des encryptages Linux les plus avancés pour cibler les machines virtuelles VMware ESXi. Microsoft a également lié Moonstone Sleet à une variante de ransomware FakePenny, avec une demande de rançon de 6,6 millions de dollars. Ce n'est pas la première fois qu'un groupe soutenu par la Corée du Nord est impliqué dans des attaques de ransomware, rappelant des incidents passés comme WannaCry.
Sources :
Webinaire: découvrez comment ASPM transforme la sécurité des applications de réactif à proactif
De nombreuses organisations sont confrontées à des outils de sécurité obsolètes qui ne fournissent pas une vue d'ensemble de leur sécurité applicative, laissant leurs applications vulnérables. Pour remédier à cela, la gestion de la posture de sécurité des applications (ASPM) propose une approche unifiée qui combine les informations sur le code avec des données en temps réel. Cette méthode permet d'obtenir une vision claire et globale de la sécurité des applications, favorisant une stratégie proactive plutôt que réactive. En adoptant ASPM, les entreprises peuvent réduire les coûts liés aux correctifs d'urgence et aux modifications coûteuses, tout en économisant du temps et en diminuant le stress. Dans un webinaire gratuit animé par Amir Kaushansky, directeur de la gestion des produits chez Palo Alto Networks, les participants apprendront à combler les lacunes de sécurité, à unifier leur approche et à prévenir les menaces avant qu'elles ne surviennent. Les places étant limitées, cette opportunité exclusive permet d'acquérir des connaissances précieuses sur la sécurité applicative. Ne manquez pas cette chance de transformer votre gestion de la sécurité et de prendre le contrôle de votre avenir en matière de sécurité des applications. Réservez votre place dès aujourd'hui !
Sources :
7 questions pour saisir ce qu’il s’est passé sur les backdoors et les messageries chiffrées
Le débat autour de la régulation des messageries chiffrées en France suscite des inquiétudes parmi les sénateurs et les députés, notamment en raison de l'impact sur la lutte contre le trafic de stupéfiants et d'autres crimes graves. Un projet de loi propose des sanctions pouvant atteindre 2 % du chiffre d'affaires mondial des entreprises en cas de non-conformité. Les discussions ont mis en lumière la nécessité d'ouvrir ces plateformes aux services de renseignement, bien que les modalités techniques restent floues. Le sénateur Cédric Perrin a souligné que ces messageries sont souvent utilisées pour organiser des activités illégales, tandis qu'Éric Bothorel a évoqué les vulnérabilités créées par le détournement des communications. Le syndicat Numeum et des experts, comme Bernard Barbier, critiquent cette approche, la qualifiant de "fausse bonne idée" qui réapparaît régulièrement sans solutions concrètes. Les forces de l'ordre expriment également des préoccupations quant à leur capacité à obtenir des preuves pour des enquêtes sur des crimes graves, tels que la traite d'êtres humains et le terrorisme. Le texte, bien que consensuel, continue d'évoluer face à ces enjeux complexes.
Sources :
Ce que PCI DSS V4 signifie vraiment - les leçons de A&F Compliance Journey
La conformité au PCI DSS v4 est cruciale pour les entreprises traitant des données de cartes de paiement, car une négligence peut entraîner des amendes de 100 000 $ par mois. Reflectiz a discuté avec Abercrombie & Fitch (A&F) des défis liés à cette nouvelle version. Kevin Heffernan, directeur des risques chez A&F, a partagé des conseils pratiques sur ce qui a fonctionné et ce qui a échoué. A&F a mené des audits de scripts pour identifier les dépendances tierces risquées et a mis en place une surveillance des en-têtes HTTP pour détecter les modifications non autorisées. La récente clarification du conseil PCI sur le questionnaire d'auto-évaluation SAQ A précise que les commerçants doivent s'assurer que leur site n'est pas vulnérable aux attaques par script. Les options de conformité incluent l'implémentation de techniques de protection ou la confirmation par des fournisseurs de services conformes au PCI DSS. Heffernan a également souligné trois erreurs courantes : se fier uniquement à la politique de sécurité de contenu, ignorer les fournisseurs tiers et considérer la conformité comme une solution ponctuelle. La date limite du 31 mars 2025 approche, rendant une préparation proactive essentielle pour éviter des amendes et des risques de sécurité.
Sources :
Ransomware Gang crypté réseau d'une webcam pour contourner EDR
Le groupe de ransomware Akira a utilisé une webcam non sécurisée pour lancer des attaques d'encryptage sur le réseau d'une victime, contournant ainsi la solution de détection et de réponse des points de terminaison (EDR) qui bloquait l'encryptage sur Windows. Cette méthode a été découverte par la société de cybersécurité S-RM lors d'une réponse à incident. Après avoir accédé au réseau via une solution d'accès à distance exposée, les attaquants ont déployé AnyDesk pour voler des données et ont tenté d'utiliser le protocole RDP pour se propager dans le réseau. Leur tentative de déployer un fichier ZIP contenant le ransomware a échoué à cause de l'EDR. En réponse, Akira a scanné le réseau et a trouvé une webcam vulnérable, fonctionnant sur un système d'exploitation Linux compatible avec leur encryptor. En utilisant cette webcam, ils ont pu monter des partages réseau Windows et lancer l'encryptage, contournant ainsi la protection EDR. S-RM souligne que des correctifs étaient disponibles pour les vulnérabilités de la webcam, ce qui rend l'attaque évitable. Ce cas met en évidence les limites de l'EDR et l'importance de surveiller et de maintenir les dispositifs IoT, qui représentent un risque significatif.
Sources :
Ce package PYPI malveillant a volé des touches privées Ethereum via des transactions RPC polygonales
Des chercheurs en cybersécurité ont découvert un package Python malveillant sur le dépôt Python Package Index (PyPI) capable de voler les clés privées Ethereum des victimes en se faisant passer pour des bibliothèques populaires. Le package, nommé set-utils, a été téléchargé 1 077 fois avant d'être retiré du registre officiel. Présenté comme un utilitaire simple pour les ensembles Python, il imite des bibliothèques largement utilisées telles que python-utils et utils, trompant ainsi les développeurs non méfiants. Ce package cible spécifiquement les développeurs Ethereum et les organisations travaillant avec des applications blockchain basées sur Python, notamment les bibliothèques de gestion de portefeuilles comme eth-account. Il intègre la clé publique RSA de l'attaquant pour chiffrer les données volées et un compte Ethereum contrôlé par l'attaquant. Le package intercepte les clés privées lors de leur création en s'accrochant à des fonctions comme "fromkey()" et "frommnewmonic()". Les clés privées sont exfiltrées via des transactions blockchain en utilisant le point de terminaison Polygon RPC "rpc-amoy.polygon.technology", rendant leur détection plus difficile. Cette méthode assure que même si un utilisateur crée un compte Ethereum, sa clé privée est volée et transmise à l'attaquant.
Sources :
Les services secrets américains saisissent le site Web de l'échange de crypto russe Garantex
Une coalition d'agences internationales de maintien de l'ordre a saisi le site web de l'échange de cryptomonnaies Garantex ("garantex[.]org"), près de trois ans après que le service ait été sanctionné par le département du Trésor américain en avril 2022. La saisie a été effectuée par le Secret Service des États-Unis, suite à un mandat obtenu par le bureau du procureur des États-Unis pour le district est de Virginie. L'opération a impliqué plusieurs agences, dont le FBI, Europol et la police nationale néerlandaise. Fondé en 2019, Garantex avait été sanctionné pour avoir facilité des transactions liées à des marchés darknet et des acteurs illicites comme Hydra et Conti. En fin 2023, des sanctions ont également été imposées à une ressortissante russe, Ekaterina Zhdanova, pour son rôle dans le blanchiment des gains de groupes de ransomware via Garantex. Cette saisie intervient peu après que l'Union européenne ait annoncé des sanctions similaires contre l'échange en raison de ses liens avec des banques russes déjà sanctionnées. Garantex a annoncé sur Telegram la suspension temporaire de tous ses services, y compris les retraits de cryptomonnaies, suite au blocage de ses portefeuilles par Tether.
Sources :
Fini Starlink ? Un géant de la défense plaide pour se tourner (enfin) vers les satellites européens
Le PDG de Thales, Patrice Caine, a récemment exprimé des réserves concernant certaines entreprises de communication privées, notamment en raison de leurs motivations économiques et politiques, qui pourraient compromettre la fiabilité et la stabilité nécessaires pour les acteurs publics. Bien qu'il n'ait pas mentionné Starlink, ses commentaires soulignent des préoccupations croissantes sur la dépendance à des services privés, surtout dans des contextes sensibles comme l'Ukraine. Starlink, qui a été perçu comme une solution sécurisée pour l'accès à Internet, fait face à des doutes sur sa fiabilité, notamment en raison des déclarations d'Elon Musk sur la possibilité de restreindre l'accès au service. En réponse à ces incertitudes, Eutelsat envisage de remplacer Starlink en Ukraine, en proposant des services comparables via son réseau OneWeb. Ce développement a entraîné une forte hausse de l'action d'Eutelsat à la Bourse de Paris. Thales, pour sa part, soutient des initiatives comme la constellation Iris², visant à garantir la souveraineté des communications sous contrôle européen. Cette dynamique reflète une volonté croissante des gouvernements de maîtriser leurs infrastructures de communication face aux enjeux géopolitiques actuels.
Sources :
Safe {Wallet} confirme les pirates nord-coréens de TraderTraitor
Safe{Wallet} a révélé que le vol de 1,5 milliard de dollars en cryptomonnaies sur Bybit est le résultat d'une attaque sophistiquée, parrainée par un État, menée par des acteurs nord-coréens. Ces hackers, connus sous le nom de TraderTraitor, ont effacé les traces de leur activité malveillante pour entraver les enquêtes. L'attaque a commencé par la compromission de l'ordinateur d'un développeur de Safe{Wallet}, qui a téléchargé un projet Docker via une attaque d'ingénierie sociale. Ce projet a permis aux attaquants de contourner les contrôles d'authentification multi-facteurs en détournant des jetons de session AWS. Les analyses ont montré que les attaquants ont utilisé des adresses IP d'ExpressVPN et des outils comme Kali Linux pour mener leurs opérations. De plus, ils ont injecté du code JavaScript malveillant sur le site de Safe{Wallet}. Malgré cela, le PDG de Bybit, Ben Zhou, a indiqué que 77 % des fonds volés restent traçables, tandis que 20 % sont devenus invisibles. En 2025, les vols de cryptomonnaies atteignent des sommets, avec 1,6 milliard de dollars perdus en seulement deux mois, soulignant les vulnérabilités croissantes dans la sécurité de Web3 et la nécessité d'une action collective dans l'industrie.
Sources :
Flaw PHP-CGI RCE exploité dans les attaques contre les secteurs de la technologie, des télécommunications et du commerce électronique du Japon
Depuis janvier 2025, des acteurs malveillants d'origine inconnue mènent une campagne ciblant principalement des organisations au Japon. Selon un rapport technique de Chetan Raghuprasad de Cisco Talos, ces attaquants exploitent la vulnérabilité CVE-2024-4577, une faille d'exécution de code à distance dans l'implémentation PHP-CGI sur Windows, pour accéder aux machines victimes. Ils utilisent des plugins du kit Cobalt Strike, nommé 'TaoWu', pour leurs activités post-exploitation. Les cibles incluent des entreprises des secteurs technologique, des télécommunications, du divertissement, de l'éducation et du commerce électronique. Après avoir obtenu un accès initial, les attaquants exécutent des scripts PowerShell pour établir un accès à distance persistant. Ils effectuent ensuite des actions de reconnaissance, d'escalade de privilèges et de mouvement latéral à l'aide d'outils variés. Pour rester discrets, ils effacent les journaux d'événements et utilisent Mimikatz pour exfiltrer des mots de passe et des hachages NTLM. L'analyse des serveurs de commande et de contrôle a révélé que les attaquants avaient laissé des répertoires accessibles, exposant ainsi une suite d'outils adversariaux. Les activités observées suggèrent que leurs motivations vont au-delà de la simple collecte de données d'identification, indiquant un potentiel pour de futures attaques.
Sources :
Microsoft dit que la campagne de malvertisation a eu un impact sur 1 million de PC
Microsoft a récemment révélé qu'une vaste campagne de malvertising a touché près d'un million d'appareils dans le monde. Les analystes de la société ont détecté ces attaques en décembre 2024, après avoir observé des téléchargements de logiciels malveillants à partir de dépôts GitHub. Les attaquants ont injecté des publicités dans des vidéos sur des sites de streaming piratés, redirigeant les victimes vers des dépôts GitHub malveillants. Ces vidéos contenaient des redirections malveillantes qui généraient des revenus pour les plateformes de malvertising. Une fois sur les dépôts, les utilisateurs étaient infectés par des malwares conçus pour collecter des informations système et exfiltrer des données. Un script PowerShell téléchargeait ensuite un cheval de Troie d'accès à distance (RAT) et établissait une persistance dans le registre. D'autres malwares, comme Lumma et Doenerium, étaient également déployés pour voler des données utilisateur. Microsoft a pris des mesures en supprimant plusieurs dépôts GitHub impliqués et a noté que cette campagne, nommée Storm-0408, a touché divers secteurs, soulignant la nature indiscriminée de l'attaque. Des informations supplémentaires sur les différentes étapes de cette campagne complexe ont été fournies dans le rapport de Microsoft.
Sources :
Ransomware Gang crypté réseau d'une webcam pour contourner EDR
Le groupe de ransomware Akira a utilisé une webcam non sécurisée pour lancer des attaques d'encryption sur le réseau d'une victime, contournant ainsi la solution de détection et de réponse des points de terminaison (EDR) qui bloquait l'encryptage sur Windows. Cette méthode a été découverte par la société de cybersécurité S-RM lors d'une réponse à incident. Après avoir accédé au réseau via une solution d'accès à distance exposée, les attaquants ont déployé AnyDesk pour voler des données et ont tenté d'utiliser le protocole RDP pour se propager dans le réseau. Leur tentative de déployer un fichier ZIP contenant le ransomware a échoué à cause de l'EDR. En explorant d'autres voies, ils ont identifié une webcam vulnérable, fonctionnant sous un système d'exploitation Linux compatible avec leur encryptor. Cette webcam, non surveillée et sans agent EDR, a permis aux attaquants de monter des partages réseau Windows et d'encrypter les fichiers. S-RM souligne que des correctifs étaient disponibles pour les vulnérabilités de la webcam, rendant l'attaque évitable. Ce cas met en évidence les limites de l'EDR et l'importance de surveiller les dispositifs IoT, qui doivent être isolés des réseaux sensibles et régulièrement mis à jour.
Sources :
Les États-Unis saisissent le domaine de Garantex Crypto Exchange utilisé par les gangs de ransomware
Le 6 mars 2025, le Service secret des États-Unis a saisi le domaine de l'échange de cryptomonnaies russe Garantex, en collaboration avec le ministère de la Justice, le FBI et Europol, ainsi que d'autres forces de l'ordre européennes. Cette action fait suite à des sanctions imposées par l'Union européenne, qui a bloqué les portefeuilles numériques de Garantex, entraînant la suspension de ses services. L'équipe de Garantex a annoncé sur Telegram que Tether avait bloqué des fonds d'une valeur de plus de 2,5 milliards de roubles, ce qui a conduit à l'arrêt temporaire de toutes les opérations. Garantex avait déjà été sanctionné par le département du Trésor américain en avril 2022, après que plus de 100 millions de dollars de transactions aient été liés à des marchés darknet et à des acteurs du cybercrime, y compris le groupe de ransomware Conti. Malgré la perte de sa licence en Estonie pour des violations des réglementations anti-blanchiment, Garantex a continué à opérer. Cette saisie s'inscrit dans une série d'actions contre des échanges de cryptomonnaies impliqués dans le blanchiment d'argent pour des groupes de ransomware russes et d'autres activités criminelles.
Sources :
Cybercrime 'Crew' a volé 635 000 $ dans les billets de concert de Taylor Swift
Deux employés d'un sous-traitant de StubHub, Tyrone Rose, 20 ans, et Shamara Simmons, 31 ans, ont été accusés d'avoir volé 635 000 dollars en billets de concert, principalement pour la tournée Eras de Taylor Swift. Ils auraient intercepté près de 1 000 commandes de billets en exploitant une faille dans le système d'un vendeur de billets offshore. Selon le procureur de Queens, Melinda Katz, Rose et un complice non appréhendé ont utilisé leur accès au système de StubHub pour rediriger les URL des billets vers les e-mails de Simmons et d'un complice décédé. L'enquête se poursuit pour déterminer l'ampleur de cette opération et identifier d'autres complices potentiels. Les deux suspects ont été arrêtés à New York et inculpés de vol qualifié au deuxième degré, de falsification informatique au premier degré, de conspiration au quatrième degré et de falsification informatique au quatrième degré. S'ils sont reconnus coupables, ils risquent une peine de trois à quinze ans de prison. Le procureur Katz a souligné l'importance de la vigilance de son unité de cybercriminalité pour lutter contre les activités frauduleuses et protéger les consommateurs.
Sources :
EThereum Private Key Stealer sur PYPI a téléchargé plus de 1 000 fois
Un package malveillant sur le Python Package Index (PyPI) nommé "set-utils" a été téléchargé plus de 1 000 fois et vole des clés privées Ethereum en interceptant les fonctions de création de portefeuilles. Se faisant passer pour un utilitaire Python, il imite des packages populaires comme "python-utils". Découvert par des chercheurs de la plateforme de cybersécurité Socket, "set-utils" a été soumis sur PyPI le 29 janvier 2025. Les attaques ciblent principalement les développeurs de blockchain utilisant 'eth-account' pour la gestion des portefeuilles et les projets DeFi basés sur Python. Le package intègre une clé publique RSA pour chiffrer les données volées et utilise des fonctions standards de création de portefeuilles pour intercepter les clés privées. Les données volées sont ensuite envoyées à un compte contrôlé par l'attaquant via des transactions sur la blockchain Polygon, rendant la détection plus difficile. Bien que le package ait été retiré de PyPI, les utilisateurs doivent désinstaller immédiatement "set-utils" et déplacer leurs fonds vers un autre portefeuille, car les portefeuilles créés sont compromis. Cette méthode d'exfiltration est discrète et difficile à détecter par les outils de sécurité traditionnels.
