Les attaquants ont utilisé des projets « d’évaluation technique » avec des conventions de dénomination reproductibles pour intégrer le clonage et créer des flux de travail, récupérer les scripts de chargement de l’infrastructure distante et minimiser les traces sur le disque.
Microsoft affirme avoir découvert une campagne coordonnée ciblant les développeurs de logiciels via des référentiels malveillants se faisant passer pour des projets Next.js légitimes et des évaluations techniques. La campagne utilise des leurres soigneusement conçus pour se fondre dans les flux de travail de routine, tels que le clonage de référentiels, l’ouverture de projets et l’exécution de builds, permettant ainsi au code malveillant de s’exécuter sans être détecté.
Les données télémétriques recueillies lors d’une enquête sur incident menée par Microsoft suggèrent que la campagne s’aligne sur un groupe plus large de menaces utilisant des astuces liées au travail. « Lors de l’analyse initiale des incidents, la télémétrie Defender a révélé un ensemble limité de référentiels malveillants directement impliqués dans les compromissions observées », a écrit la société dans un article de blog sur la sécurité. « Une enquête plus approfondie a révélé des référentiels associés supplémentaires qui n’étaient pas directement référencés dans les journaux observés, mais présentaient les mêmes mécanismes d’exécution, la même logique de chargement et la même infrastructure de transfert. »
La campagne exploite la confiance des développeurs dans le code partagé, gagnant en persistance au sein de systèmes de développement de grande valeur qui contiennent souvent du code source, des secrets d’environnement, des informations d’identification et un accès à la construction ou à l’infrastructure cloud.
Plusieurs déclencheurs pour le contrôle à distance
Les chercheurs de Microsoft ont découvert que les référentiels malveillants étaient conçus avec redondance, offrant plusieurs chemins d’exécution qui aboutissaient finalement au même comportement de porte dérobée.
Dans certains cas, il suffisait simplement d’ouvrir le projet dans Visual Studio Code. Les attaquants ont abusé de l’automatisation de l’espace de travail en intégrant des tâches configurées pour s’exécuter automatiquement lorsqu’un dossier est ouvert et approuvé. Cela provoque l’exécution de code sans que le développeur n’exécute quoi que ce soit.
D’autres variantes s’appuient sur des processus de construction ou des routines de démarrage du serveur, garantissant que le code malveillant s’exécute lorsque les développeurs effectuent des actions typiques telles que le lancement d’un serveur de développement. Quel que soit le déclencheur, les référentiels récupèrent des JavaScripts supplémentaires depuis l’infrastructure distante et les exécutent en mémoire, réduisant ainsi les traces sur le disque.
La charge utile récupérée fonctionne par étapes. Un composant d’enregistrement initial identifie l’hôte et peut fournir des instructions d’amorçage, après quoi un contrôleur C2 distinct assure la persistance et permet des actions de suivi telles que la livraison de charges utiles et l’exfiltration de données.
Infection via un faux « test de codage »
Microsoft a déclaré que l’enquête avait commencé par l’analyse des connexions sortantes suspectes des processus Node.js communiquant avec des serveurs contrôlés par des attaquants. La corrélation de l’activité du réseau avec la télémétrie des processus a ramené les analystes à l’infection d’origine grâce à des exercices de recrutement.
L’un des référentiels était hébergé sur Bitbucket et présenté sous forme d’évaluation technique, ainsi qu’un référentiel associé utilisant la convention de dénomination Cryptan-Platform-MVP1. « Plusieurs référentiels suivaient des conventions de dénomination reproductibles et des modèles de « famille » de projet, permettant des recherches ciblées de référentiels associés supplémentaires qui n’étaient pas directement référencés dans la télémétrie observée mais présentaient le même comportement d’exécution et de préparation », a écrit Microsoft.
Lorsqu’une infection est suspectée, Microsoft prévient que les organisations concernées doivent immédiatement contenir les points finaux suspects, retracer l’arborescence des processus initiateurs et rechercher les interrogations répétées des infrastructures suspectes dans l’ensemble de la flotte. Étant donné que le vol d’identifiants et de sessions peut s’ensuivre, les intervenants doivent évaluer le risque d’identité, révoquer les sessions et restreindre les actions SaaS à haut risque afin de limiter l’exposition pendant l’enquête.
Les mesures d’atténuation à long terme visent notamment à resserrer les limites de confiance des développeurs et à réduire les risques d’exécution, a ajouté Microsoft. D’autres recommandations incluent l’application des valeurs par défaut de Visual Studio Code Workspace Trust, l’application de règles de réduction de la surface d’attaque, l’activation de protections de réputation basées sur le cloud et le renforcement de l’accès conditionnel.
