Les chercheurs ont découvert une nouvelle variante du malware Shai-Hulud qui rassemble désormais également les identités Google Cloud et Azure, un ajout à son précédent comportement de vol d’informations d’identification.
Les développeurs qui ont extrait des packages de l’espace de noms npm @redhat-cloud-services de Red Hat au cours du week-end se sont retrouvés face à un ver voleur de secrets.
Les chercheurs en sécurité de plusieurs organismes de cybersécurité mettent en garde contre une nouvelle attaque de la chaîne d’approvisionnement compromettant plus de 30 packages npm liés aux services Red Hat Cloud pour voler des informations d’identification, des jetons d’authentification et d’autres secrets des environnements de développement.
La campagne, que les chercheurs de Wiz suivent sous le nom de Miasma, est considérée comme la dernière évolution de Shai-Hulud, une famille de logiciels malveillants auto-propagés qui a fait surface à plusieurs reprises dans des attaques de chaîne d’approvisionnement logicielle ciblant l’écosystème NPM.
« L’enquête a révélé qu’au moins 32 versions de packages contenaient des modifications non autorisées qui ne correspondent pas aux référentiels sources correspondants », ont déclaré les chercheurs de Wiz dans un article de blog. « Ces packages totalisent en moyenne environ 80 000 téléchargements hebdomadaires. »
Le ver semble également élargir ses ambitions. Wiz a noté que Miasma inclut de nouveaux collecteurs pour les identités Google Cloud et Azure, étendant son champ d’action du vol d’informations d’identification à la cartographie et exploitant potentiellement l’accès au cloud disponible à partir d’environnements de développement compromis.
En compromettant les packages associés aux Red Hat Cloud Services, les attaquants ciblent un écosystème logiciel auquel de nombreuses organisations font déjà confiance. La bonne nouvelle est que la plupart des paquets dont on craint qu’ils soient infectés ont déjà été supprimés, ont noté les chercheurs.
Shai Hulud est venu chercher des colis de confiance
Selon les rapports, les attaquants ont compromis les packages npm publiés sous l’espace de noms lié aux services Red Hat Cloud et inséré des logiciels malveillants capables de s’exécuter automatiquement lors de l’installation du package.
La charge utile malveillante a été conçue pour voler un large éventail d’informations d’identification et de secrets dans les environnements infectés. Les chercheurs ont observé des tentatives de collecte de jetons d’authentification npm, de variables d’environnement, d’informations d’identification cloud et d’autres informations sensibles couramment stockées sur les postes de travail des développeurs et les systèmes CI/CD.
L’analyse de Wiz a révélé que le logiciel malveillant appartenait à la famille Mini Shai-Hulud, une menace de vol d’informations d’identification qui est apparue à plusieurs reprises dans les attaques de l’écosystème NPM tout au long de l’année. « La charge utile semble provenir du malware (Mini) Shai-Hulud open source par TeamPCP », ont déclaré les chercheurs. « Les modifications observées sont en grande partie cosmétiques, les références à l’univers de Dune étant remplacées par des thèmes de la mythologie grecque (c’est-à-dire ‘spartiate’), tandis que la fonctionnalité et l’artisanat sous-jacents restent sensiblement similaires. »
La variante du malware a été vue en train de créer des référentiels contenant la description « Miasma : The Spreading Blight ».
La chaîne d’approvisionnement est encore une fois au centre de l’attention.
Même si le vol d’identifiants était un objectif immédiat, les chercheurs affirment que l’objectif plus large de la campagne semble avoir été la persistance et l’expansion au sein des écosystèmes de distribution de logiciels.
Selon Wiz, le malware recherchait activement les informations d’identification associées aux flux de publication de packages. OX Security a également noté que le code ciblait des secrets qui pourraient permettre aux attaquants d’aller au-delà des packages initialement compromis et d’accéder à des comptes et référentiels de développeurs supplémentaires.
Wiz a également constaté que les attaquants avaient modifié les flux de publication des packages pour que les versions malveillantes semblent légitimes. Un workflow GitHub Actions a demandé des jetons d’identité GitHub OpenID Connect (OIDC) et a exécuté une charge utile obscurcie qui a publié des packages avec des attestations de provenance SLSA valides. Cela a permis aux versions compromises de contenir des métadonnées fiables de la chaîne d’approvisionnement.
La technique s’inspire de l’attaque antérieure de TeamPCP contre TanStack, l’acteur menaçant derrière l’open source du malware Mini Shai-Hulud. Des parallèles avec le code de l’acteur menaçant ont également été observés dans la récente campagne Megalodon, indiquant un débordement actif du déchaînement de la chaîne d’approvisionnement vieux de plusieurs mois.
Pour les organisations concernées, la priorité immédiate est de déterminer si les packages malveillants ont été installés et si des informations d’identification ont pu être exposées. Les chercheurs ont recommandé de faire tourner les secrets potentiellement compromis, de révoquer et de réémettre les jetons de publication npm, et de revoir les activités de publication des référentiels et des packages.
Les chercheurs de Wiz ont déclaré que « la plupart » des versions malveillantes avaient été révoquées au moment de la publication de la divulgation. Il a également partagé une liste d’indicateurs de compromission (IOC) ainsi que les noms des packages infectés pour une assistance supplémentaire.
