Quatre packages contenant du code Python et JavaScript malveillant hautement obscurci ont été découverts cette semaine dans le référentiel Node Package Manager (npm).
D’après une rapport
de Kaspersky, les packages malveillants propagent les logiciels malveillants « Volt Stealer » et « Lofy Stealer », collectant des informations sur leurs victimes, notamment des jetons Discord et des informations de carte de crédit, et les espionnant au fil du temps.
Volt Stealer est utilisé pour voler Jetons de discorde et récolter les adresses IP des personnes sur les ordinateurs infectés, qui sont ensuite téléchargées vers des acteurs malveillants via HTTP.
Lofy Stealer, une menace nouvellement développée, peut infecter les fichiers des clients Discord et surveiller les actions de la victime. Par exemple, le logiciel malveillant détecte lorsqu'un utilisateur se connecte, modifie les détails de son e-mail ou de son mot de passe, ou active ou désactive l'authentification multifacteur (MFA). Il surveille également lorsqu'un utilisateur ajoute de nouveaux modes de paiement et récupère tous les détails de la carte de crédit. Les informations collectées sont ensuite téléchargées vers un point de terminaison distant.
Les noms des packages sont « small-sm », « pern-valids », « lifeculer » et « proc-title ». Bien que npm les ait supprimés du référentiel, les applications de tout développeur qui les a déjà téléchargées restent une menace.
Piratage des jetons Discord
Cibler Discord offre une grande portée, car les jetons Discord volés peuvent être exploités pour des tentatives de spear phishing sur les amis des victimes. Mais Derek Manky, stratège en chef de la sécurité et vice-président du renseignement mondial sur les menaces chez FortiGuard Labs de Fortinet, souligne que la surface d'attaque variera bien sûr selon les organisations, en fonction de leur utilisation de la plate-forme de communication multimédia.
« Le niveau de menace ne serait pas aussi élevé qu’une épidémie de niveau 1 comme nous l’avons vu dans le passé – par exemple Log4j – en raison de ces concepts autour de la surface d’attaque associée à ces vecteurs », explique-t-il.
Les utilisateurs de Discord disposent d'options pour se protéger contre ce type d'attaques : « Bien sûr, comme toute application ciblée, couvrir la kill chain est une mesure efficace pour réduire le risque et le niveau de menace », explique Manky.
Cela signifie avoir des politiques mises en place pour une utilisation appropriée de Discord en fonction des profils d'utilisateurs, de la segmentation du réseau, etc.
Pourquoi npm est ciblé pour les attaques de la chaîne d'approvisionnement logicielle
Le référentiel de packages logiciels npm compte plus de 11 millions d'utilisateurs et des dizaines de milliards de téléchargements des packages qu'il héberge. Il est utilisé à la fois par les développeurs Node.js expérimentés et par les personnes qui l'utilisent de manière occasionnelle dans le cadre d'autres activités.
Les modules npm open source sont utilisés à la fois dans les applications de production Node.js et dans les outils de développement pour les applications qui n'utiliseraient pas Node autrement. Si un développeur récupère par inadvertance un package malveillant pour créer une application, ce logiciel malveillant peut cibler les utilisateurs finaux de cette application. Ainsi, les attaques contre la chaîne d'approvisionnement logicielle comme celles-ci offrent une plus grande portée pour moins d'efforts que le ciblage d'une entreprise individuelle.
"Cette utilisation omniprésente parmi les développeurs en fait une cible importante", déclare Casey Bisson, responsable des produits et de l'activation des développeurs chez BluBracket, un fournisseur de solutions de sécurité de code.
Npm ne fournit pas seulement un vecteur d'attaque à un grand nombre de cibles, mais les cibles elles-mêmes s'étendent au-delà des utilisateurs finaux, explique Bisson.
« Les entreprises et les développeurs individuels disposent souvent de ressources supérieures à la population moyenne, et les attaques latérales après avoir pris une tête de pont dans la machine ou les systèmes d’entreprise d’un développeur sont généralement également plutôt fructueuses », ajoute-t-il.
Garwood Pang, chercheur principal en sécurité chez Tigera, un fournisseur de sécurité et d'observabilité pour les conteneurs, souligne que même si npm fournit l'un des gestionnaires de packages les plus populaires pour JavaScript, tout le monde ne sait pas comment l'utiliser.
« Cela permet aux développeurs d'accéder à une immense bibliothèque de packages open source pour améliorer leur code », explique-t-il. "Cependant, en raison de la facilité d'utilisation et du nombre de listes, un développeur inexpérimenté peut facilement importer des packages malveillants à son insu."
Il n’est cependant pas facile d’identifier un package malveillant. Tim Mackey, stratège principal en sécurité au Synopsys Cybersecurity Research Center, cite la grande quantité de composants qui composent un package NodeJS typique.
« Il est difficile d'identifier les implémentations correctes d'une fonctionnalité lorsqu'il existe de nombreuses solutions légitimes différentes au même problème », dit-il. « Ajoutez une implémentation malveillante qui peut ensuite être référencée par d'autres composants, et vous obtenez une recette dans laquelle il est difficile pour quiconque de déterminer si le composant qu'il sélectionne fait ce qu'il dit sur la boîte et n'inclut pas ou ne fait pas référence à des éléments indésirables. Fonctionnalité."
Plus que npm : les attaques contre la chaîne d'approvisionnement logicielle sont en hausse
Des attaques majeures contre la chaîne d’approvisionnement ont eu un impact impact significatif sur la sensibilisation à la sécurité des logiciels et la prise de décision, avec davantage d'investissements prévus pour la surveillance des surfaces d'attaque.
Mackey souligne que les chaînes d'approvisionnement en logiciels ont toujours été des cibles, en particulier lorsqu'il s'agit d'attaques ciblant des cadres tels que des paniers d'achat ou des outils de développement.
« Nous constatons récemment que les attaques que nous qualifiions auparavant de logiciels malveillants ou de violations de données sont en réalité des atteintes à la confiance que les organisations accordent aux logiciels qu'elles créent et qu'elles utilisent », dit-il.
Mackey dit également que beaucoup de gens pensaient que les logiciels créés par un fournisseur étaient entièrement rédigés par ce fournisseur, mais qu'en réalité, il pourrait y avoir des centaines de bibliothèques tierces constituant même le logiciel le plus simple - comme cela est apparu avec le Fiasco de Log4j.
« Ces bibliothèques sont effectivement des fournisseurs au sein de la chaîne d'approvisionnement logicielle pour l'application, mais la décision de faire appel à un fournisseur donné a été prise par un développeur résolvant un problème de fonctionnalité et non par un homme d'affaires concentré sur les risques commerciaux », dit-il.
Cela a suscité des appels à la mise en œuvre de nomenclatures logicielles (SBOM). Et, en mai, MITRE lancé
un prototype de cadre pour les technologies de l'information et des communications (TIC) qui définit et quantifie les risques et les problèmes de sécurité sur la chaîne d'approvisionnement, y compris les logiciels.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
