Les attaques de phishing contre les comptes de mainteneur de package ont conduit à des utilitaires de test de type JavaScript infecté.
Dans une attaque de la chaîne d’approvisionnement nouvellement découverte, les attaquants ont ciblé la semaine dernière une gamme de services de test de type JavaScript en JavaScript, dont plusieurs ont été compromis avec succès pour distribuer des logiciels malveillants.
Toute personne téléchargeant automatiquement ces packages aurait été exposée à une attaque de la chaîne d’approvisionnement de porte dérobée jusqu’à ce que les versions nettoyées soient installées.
Dans un exemple le 19 juillet, les attaquants ont chargé l’utilité populaire de test de type JAPM NPM avec des logiciels malveillants qui sont passés inaperçus pendant six heures. La mauvaise nouvelle a été donnée par le mainteneur Jordan Harband dans un article sur Bluesky:
« Génière que la V3.3.1 de npmjs.com/is contient des logiciels malveillants, en raison de la détournement du compte d’un autre entreau », a-t-il écrit.
La version infectée a été supprimée par les administrateurs NPM et la V3.3.0 réintégrée comme la dernière, a-t-il ajouté. La version 3.3.2 a depuis été publiée à sa place, tandis qu’une autre version voyou, 5.0.0., A également été supprimée.
« L’ancien propriétaire a été en quelque sorte retiré du package NPM et m’a envoyé un e-mail pour être réadapté. Tout semblait normal, donc j’ai obligé (irrité que le NPM retire un propriétaire sans notifier les autres propriétaires) et le lendemain matin (la version infectée) a été publiée », a écrit Harband.
L’utilitaire propose une validation des données externes d’exécution et une vérification des erreurs. On ne sait pas combien de forfaits auraient mis à jour vers la version infectée par malware de pendant le temps qu’il était en ligne, mais le fait qu’il soit actuellement téléchargé près de 2,8 millions de fois par semaine offre un indice de son appel aux attaquants.
E-mails usurpés
Malheureusement, la même campagne a également ciblé plusieurs autres bibliothèques de test de type JavaScript populaires en utilisant la même tactique de phishing, dans une campagne désormais doublée par les chercheurs.
Selon la prise du fournisseur de défense de la chaîne d’approvisionnement, les packages affectés ciblés inclus.
Les e-mails de phishing ciblaient les mainteneurs d’un domaine typosquatté, npnjs.org, facilement confondu avec le npmjs.org légitime.
Terrain de chasse
La campagne de trésor est la somme de plusieurs choses qui se produisent à plusieurs endroits à la fois, dans le cadre de manigances de la chaîne d’approvisionnement beaucoup plus importantes. Le rassemblement de ce type de puzzle prend des jours, sur lesquels les attaquants comptent bien sûr.
Une question évidente est la quantité de portée pour les comptes socialement ingénieurs et des agents de détournement en utilisant le phishing à l’ancienne. Compte tenu de l’importance des mainteneurs, c’est une inquiétude pour quiconque utilise des packages NPM. Pour aggraver les choses, le malware de trésor a été manqué par la plupart des clients anti-malware sur Virustotal.
Il est clair que les auteurs de campagnes de logiciels malveillants sont déterminés à infiltrer les chaînes d’approvisionnement et à voir le NPM comme un bon terrain de chasse. Scavenger démontre que lorsque les attaquants compromettent les forfaits, les logiciels malveillants qu’ils plantent peuvent être puissants.
«L’attaque du package NPM ne faisait pas partie des DLL spécifiques à Windows. Il a utilisé un chargeur malware javascript multiplateforme. Ce JavaScript s’exécute entièrement en JavaScript sur Node.js 12+ à travers MacOS, Linux, et Windows, et il conserve une chaîne de commande et de contrôle en direct (C2)», a souligné Tom Hyslip, un cybercrime et un expert en cybercrimination et des cyberclarettes de la Université de South Hyslip.
Mais pourquoi les packages NPM? Selon Max Gannon de la cofense du fournisseur anti-phishing, les mainteneurs de package invitent simplement des exemples de titulaires de comptes de haut niveau avec une large portée.
« Plutôt que de travailler à compromettre une entreprise et à être incertain du gain, les acteurs de la menace peuvent compromettre un développeur et se retrouver avec leurs logiciels malveillants par centaines, voire des milliers d’autres sociétés », a déclaré Gannon.
« Même si cela prend dix fois plus de temps pour compromettre un développeur, le gain peut être bien plus de dix fois ce qui aurait pu être fait en compromettant dix autres sociétés au cours de cette même période », a-t-il souligné.
Ce qu’il faut faire
De l’avis de Hyslip, au-delà de la responsabilité d’authentification multi-facteurs (MFA) pour les comptes d’entretien, les développeurs doivent verrouiller les dépendances en utilisant pour arrêter les mises à jour malveillantes appliquées à travers l’arbre de dépendance sans que le développeur soit conscient. C’est également une bonne idée d’utiliser des outils pour suivre les versions installées, tout en les reliant à des vulnérabilités de sécurité connues, a-t-il déclaré.
Les outils peuvent être utilisés pour analyser les packages avant leur installation, tandis que les attestations et les versions de package peuvent être référencées avec les autres référentiels. Compte tenu du ciblage des plates-formes NPM et de package en général, les développeurs ne devraient jamais installer automatiquement de nouvelles versions sans vérification. D’autant plus que NPM fait actuellement des apparitions régulières dans la liste des plates-formes de distribution de packages les plus ciblées. En mai, par exemple, Socket a remarqué 60 packages NPM malveillants, tandis qu’en juin, deux autres forfaits destructeurs ont été découverts pour installer des dérivations.
La pause pour vérifier les packages mis à jour va à l’encontre de certains réflexes durement gagnés, a noté Gannon: «L’adage de longue date dans la sphère logicielle sécurisée a été.
