Les chercheurs en cybersécurité ont découvert deux packages malveillants dans le référentiel Python Package Index (PyPI) qui se font passer pour des correcteurs orthographiques mais contiennent des fonctionnalités permettant de délivrer un cheval de Troie d'accès à distance (RAT).
Les forfaits, appelés vérificateur d'orthographe et vérificateur d'orthographeIls ne sont plus disponibles sur PyPI, mais pas avant d’avoir été téléchargés collectivement un peu plus de 1 000 fois.
“Caché dans le fichier du dictionnaire de langue basque se trouvait une charge utile codée en base64 qui télécharge un Python RAT complet”, a déclaré Charlie Eriksen, chercheur en aïkido. “L'attaquant a d'abord publié trois versions 'inactives', charge utile présente, déclencheur absent, puis a basculé le commutateur avec le correcteur orthographique v1.2.0, ajoutant un déclencheur d'exécution obscurci qui se déclenche au moment où le correcteur orthographique est importé.”
Contrairement à d'autres packages qui cachent des fonctionnalités malveillantes dans les scripts « __init__.py », l'acteur menaçant à l'origine de la campagne a ajouté la charge utile dans un fichier appelé « resources/eu.json.gz » qui contient les fréquences de mots basques du package légitime pyspellchecker.
Bien que le package semble inoffensif à première vue, le comportement malveillant est déclenché lorsque le fichier est extrait à l'aide de la fonction test_file() avec les paramètres : test_file(“eu”, “utf-8”, “spellchecker”), ce qui lui permet de récupérer un téléchargeur codé en Base64 caché dans le dictionnaire sous une clé appelée “spellchecker”.
Il est intéressant de noter que les trois premières versions du package récupéraient et décodaient uniquement la charge utile, mais ne l’exécutaient jamais. Cependant, cela a changé avec la sortie du correcteur orthographique version 1.2.0, publiée le 21 janvier 2026, lorsqu'il a également acquis la possibilité d'exécuter la charge utile.
La première étape est un téléchargeur conçu pour récupérer un RAT basé sur Python à partir d'un domaine externe (“updatenet[.]work”). Il est capable de prendre les empreintes digitales de l'hôte compromis, d'analyser les commandes entrantes et de les exécuter. Le domaine, enregistré fin octobre 2025, est associé au 172.86.73.[.]139, une adresse IP gérée par RouterHosting LLC (alias Cloudzy), un fournisseur d'hébergement qui propose depuis longtemps ses services à des groupes d'États-nations.
Ce n’est pas la première fois que de faux outils de vérification orthographique Python sont détectés dans PyPI. En novembre 2025, HelixGuard a déclaré avoir découvert un package malveillant appelé « vérificateur orthographique » qui offrait la possibilité de récupérer et d'exécuter une charge utile RAT. Ces deux séries d’attaques sont soupçonnées d’être l’œuvre du même acteur menaçant.
Le développement coïncide avec la découverte de plusieurs packages NPM malveillants destinés à faciliter le vol de données et à cibler les portefeuilles de crypto-monnaie.
- Flockiali (1.2.3-1.2.6), opresc (1.0.0), prndn (1.0.0), oprnm (1.0.0) et operni, qui contiennent un seul fichier JavaScript qui, une fois chargé, affiche un faux écran de connexion de marque Microsoft dans le cadre d'une campagne de phishing ciblée affectant les employés d'entreprises industrielles et énergétiques ciblées situées en France, en Allemagne, en Espagne, aux Émirats arabes unis et aux États-Unis. USA avec des liens malveillants.
- ansi-universal-ui (1.3.5, 1.3.6, 1.3.7, 1.4.0, 1.4.1), qui se présente comme une bibliothèque de composants d'interface utilisateur mais implémente un voleur basé sur Python appelé G_Wagon qui extrait les informations d'identification du navigateur Web, les portefeuilles de crypto-monnaie, les informations d'identification cloud et les jetons Discord dans un compartiment de stockage Appwrite.
Cette divulgation intervient également alors que l'Aïkido a souligné la menace associée au slopsquatting, dans lequel des agents basés sur l'intelligence artificielle (IA) peuvent halluciner des paquets inexistants qui pourraient ensuite être revendiqués par un acteur malveillant pour envoyer du code malveillant aux utilisateurs ultérieurs.
Dans un cas mis en évidence par la société de sécurité de la chaîne d'approvisionnement, 237 référentiels GitHub faisaient référence à un package npm fictif appelé « react-codeshift » depuis qu'il a été créé par un grand modèle de langage à la mi-octobre 2025, et certains d'entre eux ont même demandé aux agents d'IA de l'installer.
“Comment cela s'est-il propagé à 237 référentiels ? Fichiers de compétences d'agent. Copiés, collés, forkés, traduits en japonais, jamais vérifiés”, a expliqué Eriksen. “Les compétences sont le nouveau code. Ils n'y ressemblent pas. Ce sont du Markdown, du YAML et des instructions conviviales. Mais ils sont exécutables. Les agents d'IA les suivent sans se demander : “Ce package existe-t-il vraiment ?”
