L’objectif est de voler des jetons Tea en gonflant les téléchargements de packages, éventuellement dans un but lucratif lorsque le système pourra être monétisé.
Une campagne coordonnée d’agriculture de jetons continue d’inonder le registre open source npm, avec des dizaines de milliers de packages infectés créés presque quotidiennement pour voler des jetons à des développeurs sans méfiance utilisant le protocole Tea pour récompenser le travail de codage.
« Il est regrettable que le ver ne soit pas encore sous contrôle », a déclaré Brian Fox, directeur technique de Sonatype.
Et même si cette charge utile ne fait que voler des jetons, d’autres acteurs de la menace y prêtent attention, a-t-il prédit.
« Je suis sûr que quelqu’un dans le monde regarde ce ver qui se réplique massivement et se demande s’il peut l’utiliser, non seulement pour obtenir les jetons Tea, mais aussi pour y insérer de véritables logiciels malveillants, car s’il se réplique aussi rapidement, pourquoi ne le feriez-vous pas ?
Lorsque Sonatype a écrit sur la campagne il y a un peu plus d’un an, elle n’a trouvé que 15 000 colis qui semblaient provenir d’une seule personne.
Avec les chiffres gonflés rapportés cette semaine, les chercheurs d’Amazon ont écrit qu’il s’agit de « l’un des incidents d’inondation de colis les plus importants dans l’histoire des registres open source et qu’il représente un moment déterminant dans la sécurité de la chaîne d’approvisionnement ».
Cette campagne n’est que la dernière façon dont les acteurs malveillants profitent des failles de sécurité dans un certain nombre de référentiels open source, ce qui risque de nuire à la réputation de sites comme npm, PyPI et autres.
Contenu connexe : Attaques de la chaîne d’approvisionnement et leurs conséquences
« L’infestation de logiciels malveillants dans les référentiels open source est une crise à part entière, hors de contrôle et qui érode dangereusement la confiance dans la chaîne d’approvisionnement open source en amont », a déclaré Dmitry Raidman, CTO de Cybeats, qui fabrique une solution logicielle de nomenclature.
Pour preuve, il a souligné l’exploitation rapide de l’écosystème npm par le ver Shai‑Hulud, qui montre à quelle vitesse les attaquants peuvent détourner les jetons de développeur, corrompre les packages et se propager latéralement dans l’ensemble de l’écosystème de dépendances. « Ce qui a commencé comme un simple compromis explose en quelques heures, mettant en danger l’ensemble de l’écosystème et chaque projet en aval de l’industrie en quelques jours, qu’il soit open source ou commercial. »
En septembre dernier, Raidman a écrit sur la compromission du système de build Nx après que des acteurs malveillants ont poussé des versions malveillantes du package dans npm. En quelques heures, écrit-il, des développeurs du monde entier ont, sans le savoir, récupéré du code qui volait des clés SSH, des jetons d’authentification et des portefeuilles de crypto-monnaie.
Ces téléchargements à grande échelle et plus récents de packages malveillants dans des référentiels open source ne sont « qu’un début », a-t-il averti, à moins que les développeurs et les responsables du référentiel n’améliorent la sécurité.
Les rapports Amazon et Sonatype ne sont pas les premiers à détecter cette campagne. Le chercheur australien Paul McCarty de SourceCodeRed nous a confirmé qu’il s’agissait bien du ver qu’il a surnommé « IndonesianFoods » dans un blog cette semaine.
Le protocole du thé
Le Tea Protocol est une plate-forme basée sur la blockchain qui offre aux développeurs et responsables de packages open source des jetons appelés Tea en récompense de leur travail logiciel. Ces jetons sont également censés contribuer à sécuriser la chaîne d’approvisionnement des logiciels et permettre une gouvernance décentralisée à travers le réseau, affirment leurs créateurs sur leur site Internet.
Les développeurs mettent le code Tea qui renvoie à la blockchain dans leurs applications ; plus une application est téléchargée, plus ils obtiennent de jetons Tea, qui peuvent ensuite être encaissés via un fonds. Le système de vers est une tentative de faire croire à la blockchain que les applications créées par les acteurs de la menace sont très populaires et rapportent donc beaucoup de jetons.
Pour le moment, les jetons n’ont aucune valeur. Mais on soupçonne que les acteurs de la menace se positionnent pour recevoir de véritables jetons de crypto-monnaie lorsque le protocole Tea lancera son réseau principal, où les jetons Tea auront une valeur monétaire réelle et pourront être échangés.
Pour l’instant, selon Fox de Sonatype, ce système fait perdre du temps aux administrateurs npm, qui tentent d’expulser plus de 100 000 paquets. Mais Fox et Amazon soulignent que ce système pourrait inciter d’autres personnes à profiter d’autres systèmes basés sur des récompenses pour obtenir un gain financier ou pour diffuser des logiciels malveillants.
Ce que les responsables informatiques et les développeurs devraient faire
Pour réduire les risques d’abus, les référentiels open source devraient renforcer leur contrôle d’accès, en limitant le nombre d’utilisateurs pouvant télécharger du code, a déclaré Raidman de Cybeats. Cela inclut l’utilisation de l’authentification multifacteur en cas de vol des identifiants de connexion des développeurs, a-t-il déclaré, et l’ajout de capacités de signature numérique au code téléchargé pour authentifier l’auteur.
Les responsables informatiques doivent insister sur le fait que tous les codes utilisés par leur entreprise comportent une nomenclature logicielle (SBOM), afin que les équipes de sécurité puissent voir les composants. Ils doivent également insister pour que les développeurs connaissent les versions du code open source qu’ils incluent dans leurs applications et confirmer que seules les versions approuvées et sûres sont utilisées et non automatiquement modifiées simplement parce qu’une nouvelle version est téléchargée à partir d’un référentiel.
Fox de Sonatype a déclaré que les responsables informatiques doivent acheter des outils capables d’intercepter et de bloquer les téléchargements malveillants à partir des référentiels. Les logiciels antivirus sont inutiles ici, a-t-il déclaré, car le code malveillant téléchargé dans les référentiels ne contiendra pas les signatures que les outils antivirus sont censés détecter.
En réponse à des questions envoyées par courrier électronique, les auteurs du blog Amazon, les chercheurs Chi Tran et Charlie Bacon, ont déclaré que les référentiels open source doivent déployer des systèmes de détection avancés pour identifier les modèles suspects tels que les fichiers de configuration malveillants, le code minimal ou cloné, les schémas de dénomination de code prévisibles et les chaînes de dépendance circulaires.
« Il est tout aussi important », ajoutent-ils, « de surveiller la vitesse de publication des packages, car les outils automatisés créent à des vitesses qu’aucun développeur humain ne pourrait égaler. En outre, des mesures améliorées de validation et de responsabilité des auteurs sont cruciales pour la prévention. Cela comprend la mise en œuvre d’une vérification d’identité plus renforcée pour les nouveaux comptes, la surveillance de l’activité de publication coordonnée sur plusieurs comptes de développeur, comme le montre cette campagne, et l’application des principes de « culpabilité par association » où les packages provenant de comptes liés à une activité malveillante font l’objet d’un examen approfondi. Les référentiels doivent également suivre les modèles de comportement comme la création rapide de comptes suivie par la publication de paquets en masse, qui sont des caractéristiques d’abus automatisés.
Les RSSI qui découvrent ces packages dans leur environnement « sont confrontés à une réalité inconfortable », ajoutent les auteurs d’Amazon : « Leurs contrôles de sécurité actuels n’ont pas réussi à détecter une attaque coordonnée sur la chaîne d’approvisionnement. »
McCarty de SourceCodeRed a déclaré que les responsables informatiques doivent protéger les ordinateurs portables des développeurs, ainsi que leurs pipelines automatisés d’intégration et de livraison continue (CI/CD). Les outils de sécurité traditionnels comme EDR et SCA ne recherchent pas les logiciels malveillants, a-t-il averti. « Le nombre de personnes qui achètent Snyk en pensant que c’est ce qu’il fait est énorme », a-t-il déclaré.
McCarty a créé deux outils d’analyse des logiciels malveillants open source. L’un d’entre eux, opensourcemalware.com, est une base de données ouverte de contenu malveillant tel que les packages npm. Il peut être vérifié si un package utilisé est malveillant. Le second est l’outil automatisé open source MALOSS, qui est en fait un scanner qui vérifie automatiquement opensourcemalware.com et d’autres sources. MALOSS peut être utilisé dans un pipeline CI/CD ou sur un poste de travail local.
Il recommande également l’utilisation d’un pare-feu de packages commerciaux ou open source, qui permet effectivement à un développeur d’installer uniquement des packages approuvés.
