Les développeurs adeptes dans plusieurs langages de codage sont incités à installer un package à consonance familière à partir du registre du Node Package Manager au lieu de la source d’origine.
Les pirates abusent du registre du Node Package Manager (NPM) – une base de données de packages JavaScript – pour cibler les développeurs multi-langues avec des packages de frappe-carré contenant des voleurs et des codes d’exécution de code distant (RCE).
Selon une recherche de la société de cybersécurité Socket, une campagne de logiciels malveillants coordonnée, avec des preuves d’origine en Chine, a publié des dizaines de packages malveillants qui imitent les bibliothèques bien connues Python, Java, C ++, .NET et Node.js.
« Cette tactique peut spécifiquement cibler les développeurs familiarisés avec plusieurs langages de programmation, les incitant à installer des packages malveillants en raison de noms de packages à consonance familière, qui apparaissent de manière inattendue dans le registre du NPM au lieu de leur écosystème d’origine », a déclaré les chercheurs de Socket dans un article de blog.
Les packages piégés utilisés dans le code de campagne obscurcissent le code, conçu pour glisser les défenses de sécurité antérieures, exécuter des scripts malveillants pour siphonner les données sensibles et établir la persistance des systèmes affectés.
Une attaque coordonnée est en jeu
Tous les packages observés par les chercheurs ont présenté des techniques d’obscurcissement similaires dans l’objectif final d’activer l’exfiltration des données ou le RCE. Les attaquants ont planté les forfaits malveillants dans le NPM, en espérant que les développeurs multi-langues les ramassent accidentellement pour leurs noms familiers, ou les systèmes CI / CD les installent automatiquement.
Les chercheurs ont également pu relier la campagne à la Chine, ajoutant une autre couche à la tension croissante du cyberespace entre les États-Unis et la Chine. « Bien que ces packages répertorient différents responsables, l’analyse a révélé qu’ils partagent l’infrastructure, utilisent des charges utiles obscurcis identiques et indiquent la même adresse IP 8 (.) 152 (.) 163 (.) 60 confirmant un seul acteur de menace coordonné ciblant les développeurs à travers les écosystèmes », ont déclaré les chercheurs de Socket.
L’adresse IP a été retracée à une adresse située dans la région de Pékin associée à Alibaba Cloud (Singapour), ont ajouté des chercheurs.
Compte tenu de tous les échantillons de logiciels malveillants récupérés en un module de persistance, une implication de l’État-nation ne peut pas être entièrement exclue. Les chercheurs ont déclaré: «Les packages contiennent du code qui tente de la persistance ou du mouvement latéral via l’installation de scripts de coquille distants.»
Audit et bloquer les dépendances suspectes pourraient aider
Les développeurs sont recommandés pour auditer les dépendances dans les instantanés du projet Node.js, tels que package.json et package-lock.json, qui peuvent pêcher des installations malveillantes dans l’arbre de dépendance. Le blocage des packages suspects avec un registre proxy ou une politique d’autorisation peut également aider.
La formation des développeurs à reconnaître la typosquat et l’identité de l’emballage devient essentielle dans le cadre des menaces croissantes de la chaîne d’approvisionnement en utilisant des techniques similaires. Les attaquants ont récemment été créatifs alors qu’ils ont armé les hallucinations AI pour distribuer des forfaits malveillants avec de faux noms que les modèles d’IA ont recommandé dans leurs sorties.
Le NPM reste une cachette de pirate populaire car ils l’utilisent pour effectuer des violations de la chaîne d’approvisionnement. Socket a partagé une liste de packages malveillants utilisés dans la campagne, ainsi que d’autres indicateurs et techniques d’attr & ck mitre.
