L’exploit «Chimera-SandBox-Extensions» met en évidence les risques croissants de l’abus de packages open source, ce qui a provoqué des appels à des contrôles de dépendance plus stricts et à la détection des logiciels malveillants DGA.
Un package Python malveillant se faisant passer pour un module complémentaire inoffensif pour l’environnement Sandbox Chimera, un outil intégré d’expérimentation et de développement d’apprentissage automatique, aide les acteurs à menacer de voler des références d’entreprise sensibles.
Selon les nouveaux résultats de la recherche de la chaîne d’approvisionnement de logiciels et de la société DevOps JFROG, le package «Chimera-Sandbox-Extensions», récemment téléchargé dans le référentiel PYPI populaire, contient un voleur d’informations à plusieurs étapes furtif.
«La détection de packages nocifs, tels que les extensions de Chimera-Sandbox, sur PYPI met en évidence les risques significatifs et répandus posés par les attaques de chaîne d’approvisionnement logicielles», a déclaré Eric Schwake, directeur de la stratégie de cybersécurité à la sécurité des sel. «La menace principale réside dans sa capacité à collecter des données sensibles liées aux développeurs, y compris les informations d’identification, les fichiers de configuration, et en particulier les jetons AWS et les variables d’environnement CI / CD.»
Cela représente un risque direct pour les infrastructures d’entreprise et cloud, permettant aux attaquants d’accéder à la manière malveillante et éventuellement de modifier ou de voler de grands volumes de données grâce à des informations d’identification API compromises, a ajouté Schwake.
Cibler les infrastructures d’entreprise et cloud
Le package cible les utilisateurs de l’environnement Chimera-Sandbox basé sur le cloud, dans le but de lancer un filet plus large et de voler des informations d’identification de niveau d’entreprise à grande valeur. L’intelligence acquise des jetons volés et des journaux pourrait aider les attaquants à infiltrer ou à saboter une infrastructure.
« Le package vise à voler des informations d’identification et d’autres informations sensibles telles que la configuration JAMF, les variables d’environnement CI / CD et les jetons AWS », ont déclaré des chercheurs de JFROG dans un article de blog. De plus, il exfiltre les jetons d’authentification de l’environnement de sandbox pod et les données GIT, la configuration de l’hôte ZSCaler, l’adresse IP publique et les informations générales de plate-forme, d’utilisateur et d’hôte.
Une fois installé, le package lance un algorithme de génération de domaine sophistiqué (DGA), en choisissant parmi un ensemble de 10 adresses pour localiser son centre de commande et de contrôle (C2). Une fois la communication C2 obtenue, il télécharge une charge utile Python dynamique de deuxième étape adaptée pour voler des données environnementales.
«Cet incident souligne la sophistication croissante des attaques de la chaîne d’approvisionnement, où des forfaits apparemment dignes de confiance peuvent offrir des logiciels malveillants dangereux», a déclaré Mike McGuire, directeur principal des solutions de sécurité chez Black Duck. « Malheureusement, des attaques comme celles-ci sont susceptibles d’augmenter la fréquence, les équipes doivent donc adopter une approche en couches pour se défendre. »
La protection a besoin d’une approche multicouche
Les experts traitent l’incident de Chimera-Sandbox-Extension comme plus qu’un autre retrait malveillant. Alors que JFrog a agi rapidement, amener les mainteneurs PYPI, la suppression du package et la mise à jour de ses chercheurs de scanner Xray conviennent qu’un correctif unique ne suffit pas.
«Au cours des cinq dernières années, les attaquants ont exploité le PYPI et d’autres gestionnaires de package pour exploiter la confiance des développeurs par le biais de typosquatting et d’attaques de chaîne d’approvisionnement», a déclaré Fletcher Davis, directeur principal de la recherche en matière de sécurité et Beyondtrust. «L’incident d’extensions de Chimera-Sandbox souligne que les approches de sécurité traditionnelles sont insuffisantes contre les menaces de chaîne d’approvisionnement modernes. La sécurité de la chaîne d’approvisionnement nécessite une approche proactive et multicouche combinant des contrôles techniques, des améliorations de processus et une surveillance continue plutôt que de s’appuyer uniquement sur des mesures réactives.»
Plus précisément, Jason Soroko, chercheur principal à Sectigo, a déclaré que l’interdiction des installations directes «PIP» et «UV» à partir d’index publics peut aider. « Les dépendances approuvées par Mirror dans un référentiel interne et appliquer le hachage épinglant dans les fichiers de verrouillage », a-t-il ajouté. «Analysez tous les packages entrants avec une analyse statique et dynamique pour détecter les appels DGA et le code de création d’identification observé dans les extensions Chimère-Sandbox. L’abus des gestionnaires de packages open source a augmenté ces dernières années, tiré par leur portée massive et le potentiel d’un impact généralisé grâce à des millions de téléchargements quotidiens. Dans les résultats récents, les attaquants ont exploité le gestionnaire de packages NPM pour pousser les forfaits malveillants pour effacer des systèmes de production entiers, espionner les machines DevOps et la plantation de voleurs et des logiciels malveillants RCE.
