Red-warning-cube-on-a-laptop-keyboard-in-darkened-room-1

AVERTISSEMENT: les pirates ont inséré le code de vol d’identification dans certaines bibliothèques NPM

Lucas Morel

«Il s’agit d’une nouvelle frontière» de logiciels malveillants dans les référentiels open source, explique un expert.

Des dizaines de bibliothèques NPM, dont une bibliothèque de couleurs avec plus de 2 millions de téléchargements par semaine, ont été remplacées par un nouveau code de vol d’identification auto-réplicatif dans une autre vague d’une attaque de chaîne d’approvisionnement qui souligne à nouveau la nécessité de contributeurs aux référentiels open source pour mieux protéger leurs informations d’identification de connexion contre le piratage.

Les développeurs qui utilisent le code open source sont invités à vérifier leurs comptes GitHub maintenant pour s’assurer qu’ils n’ont pas téléchargé ce logiciel malveillant.

‘Pas juste une autre mauvaise journée’

Cela représente «une escalade majeure dans les menaces d’écosystème du NPM», a déclaré les chercheurs de Step Security.

Les logiciels malveillants s’auto-comparez dans les forfaits d’entretien, récoltent des informations d’identification AWS / GCP / Azure à l’aide de truffes et établit de la persistance à travers les dérives des actions GitHub, ont-ils déclaré.

« Ce n’est pas juste une autre mauvaise journée sur le NPM », a ajouté Tomislav Pericine, architecte en chef des logiciels chez ReversingLabs. «Il s’agit d’une nouvelle frontière de logiciels malveillants auto-reproduits en open source.»

Les chercheurs de Socket and at Ox Security ont noté que plusieurs packages publiés dans NPM par le fournisseur de sécurité Crowdstrike étaient parmi ceux compromis.

À ce jour, les bibliothèques affectées ont été supprimées par le registre NPM. Mais le risque est que les développeurs d’applications aient déjà inclus le malware dans leur logiciel, qui se propage ensuite à des centaines ou des milliers d’utilisateurs.

Plus de 40 packages affectés

L’un des chercheurs qui ont trouvé et signalé le piratage lundi était le développeur français François le meilleur, et il a également été décrit dans les blogs de la sécurité de Steps, du socket, des réinversions et de la sécurité des ox. Ces blogs contiennent une liste complète de packages compromis et d’indicateurs de compromis.

Des chercheurs d’Ox Security, basés à Israël, ont déclaré qu’il y avait une brève fenêtre de temps de quelques heures seulement avant la découverte et le bloqué du malware. Au cours de cette période, cependant, il aurait pu être téléchargé par des développeurs involontaires.

Selon les chercheurs, les attaquants ont trojanisé plus de 40 packages dans le NPM, notamment:

  • Versions Ctrl / Tinycolor 4.1.1 et 4.1.2. Il s’agit d’une bibliothèque et d’une API JavaScript légères qui aident les développeurs à personnaliser la couleur de leurs applications, suffisamment populaire pour qu’il soit téléchargé plus de 2 millions de fois par semaine;
  • NGX-Bootstrap (300 000 téléchargements hebdomadaires);
  • Ng2-File-upload (100 000 téléchargements hebdomadaires).

Si les développeurs ont téléchargé l’une des bibliothèques affectées ces derniers jours, ils devraient supprimer ces versions et se reconstruire d’une source de cache / artefacte propre. De plus, ils devraient tourner / révoquer et remplacer les informations d’identification utilisées sur n’importe quelle machine affectée.

En particulier, les utilisateurs de GitHub devraient rechercher et supprimer un nouveau référentiel nommé «Shai-hulud».

MALWARE REPO trouvé dans des comptes compromis

Dans une interview, le chercheur en sécurité d’Ox Moshe Siman Tov Bustan a déclaré qu’il supposait qu’un développeur qui contribue au NPM est tombé pour un leurre de phishing, ce qui a conduit leurs références à être volées.

Il a décrit le malware comme «très mauvais» car il vole des informations d’identification pour AWS, Google Cloud et Azure.

Il a déclaré que la sécurité d’Ox avait trouvé 34 comptes GitHub compromis qui contiennent le référentiel Shai-Hulud. À l’intérieur, il y a un fichier appelé «data.json» contenant toutes les informations compromises que l’attaquant a téléchargées sur le compte GitHub de la victime.

Il a conseillé aux équipes de développement de commencer à appliquer l’authentification à deux facteurs basée sur le matériel afin de rendre plus difficile de voler les informations d’identification d’un développeur, de créer des jetons de courte durée, de faire respecter les scripts à l’écart à l’écart dans les environnements d’intégration continue, de créer une période de refroidissement avant l’adoption des applications et d’appliquer une revue à l’échelle de l’organisation de nouvelles versions de package. L’association de ces pratiques avec un inventaire de matériaux logiciel avec des listes de blocs automatisées offre une protection encore meilleure.

NPM une cible continue

Le NPM et d’autres référentiels de code open source sont des cibles des acteurs de la menace car, une fois compromis, un compte peut fournir un moyen facile de répandre les logiciels malveillants.

La semaine dernière, il a été signalé qu’une attaque massive avait compromis 18 forfaits NPM très populaires qui ont collectivement été téléchargés 2 milliards de fois par semaine. En juillet, un autre piratage a ciblé une gamme d’utilitaires de test de type JavaScript hébergé par NPM.

Conseil aux Cisos

Premièrement, si l’organisation développe des logiciels en interne, le CISO doit comprendre que les développeurs sont ciblés et que le poste de travail d’un développeur compromis peut compromettre l’ensemble de la chaîne d’approvisionnement des logiciels. Les développeurs et leurs postes de travail ont besoin de solutions de sécurité sur mesure. La plupart des solutions hors boîte ne expliqueront pas les besoins spéciaux et les menaces auxquelles les développeurs sont confrontés, a-t-il déclaré.

Deuxièmement, toute organisation consommant un logiciel doit durcir sa chaîne d’approvisionnement des logiciels. Cela nécessite des relations et une surveillance solides des fournisseurs, ainsi qu’une compréhension du risque de chaîne d’approvisionnement logicielle.

« Le recul de l’attaque particulière, il démontre encore une fois que le phishing, s’il est bien fait, peut cibler avec succès même des employés techniquement plus compétents comme les développeurs », a déclaré Ullrich. «Les CISO doivent insister pour mettre en œuvre une authentification résistante au phishing dans la mesure du possible.»

Robert Beggs, responsable de la société canadienne de réponse aux incidents Digital Defence, a ajouté que l’attaque est un appel pour s’assurer que les instances de GitHub ont été durcies (la suppression des applications inutiles, la vérification des clés de déploiement pour tous les projets, les alertes de balayage secret Github activées) et que la surveillance est en place.

Il a déclaré que cela renforçait également l’utilité des enregistrements tels que ceux d’une facture de matériaux logiciels. « Les organisations doivent s’assurer qu’elles sont prêtes à répondre aux futures attaques, ce qui sera sans aucun doute plus complexe que l’attaque du PNJ », a-t-il déclaré.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen