PyPI, un dépôt vital pour les développeurs de logiciels open source, a temporairement interrompu la création de nouveaux projets et l’inscription de nouveaux utilisateurs suite à une avalanche de téléchargements de packages exécutant un code malveillant sur tout appareil les ayant installés. Dix heures plus tard, la suspension a été levée. Abrégé en Python Package Index, PyPI est la source privilégiée pour les applications et bibliothèques de code écrits en langage de programmation Python. Les grandes sociétés du Fortune 500 ainsi que les développeurs indépendants se reposent sur ce dépôt pour obtenir les dernières versions de code nécessaires au fonctionnement de leurs projets. Un peu après 19 heures (heure du Pacifique) mercredi, le site a commencé à afficher un message indiquant aux visiteurs que la création de nouveaux projets et l’inscription de nouveaux utilisateurs étaient temporairement suspendues. Le message n’a pas expliqué les raisons de cette suspension ni donné d’estimation quant à la levée de celle-ci. Environ 10 heures plus tard, PyPI a rétabli la création de nouveaux projets et l’inscription de nouveaux utilisateurs. Une fois encore, le site n’a pas donné de raison pour cette interruption de 10 heures. Selon la société de sécurité Checkmarx, les heures précédant la fermeture, PyPI a été attaqué par des utilisateurs ayant probablement utilisé des moyens automatisés pour télécharger des packages malveillants qui, une fois exécutés, infectaient les appareils des utilisateurs. Les attaquants ont utilisé une technique appelée typosquatting, qui exploite les erreurs de frappe des utilisateurs lorsqu’ils saisissent les noms de packages populaires dans les interfaces en ligne de commande. En donnant aux packages malveillants des noms similaires à ceux de packages populaires sans danger, les attaquants comptent sur le fait que leurs packages malveillants seront installés lorsque quelqu’un saisira incorrectement un nom. « Les acteurs de la menace ciblent les victimes avec la technique d’attaque Typosquatting en utilisant leur CLI pour installer des packages Python », ont écrit jeudi les chercheurs de Checkmarx, Yehuda Gelb, Jossef Harush Kadouri et Tzachi Zornstain. « Il s’agit d’une attaque à plusieurs niveaux et la charge malveillante avait pour objectif de voler des portefeuilles de crypto-monnaie, des données sensibles des navigateurs (cookies, données d’extensions, etc.) et diverses informations d’identification. De plus, la charge malveillante utilisait un mécanisme de persistance pour survivre aux redémarrages. »
« La Croisade acharnée d’un couple pour arrêter un tueur génétique »
En y repensant, cela aurait pu être un indice. Mais au début de l’année 2010, lorsque Kamni Vallabh a commencé
