Un groupe non identifié d'acteurs malveillants a orchestré une cyberattaque sophistiquée de la chaîne d'approvisionnement contre des membres de l'organisation Top.gg GitHub ainsi que des développeurs individuels afin d'injecter du code malveillant dans l'écosystème de code.
Les attaquants ont infiltré des éléments de développement de logiciels fiables pour compromettre les développeurs. Ils ont détourné des comptes GitHub avec des cookies volés, contribué à du code malveillant via des validations vérifiées, établi un miroir Python contrefait et publié des packages corrompus sur le registre PyPi.
« Plusieurs TTP aident les attaquants à créer des attaques sophistiquées, à échapper à la détection, à augmenter les chances de réussite de l'exploitation et à compliquer les efforts de défense », explique Jossef Harush Kadouri, responsable de la sécurité de la chaîne d'approvisionnement logicielle chez Checkmarx.
Les attaquants ont utilisé une technique de typosquatting convaincante avec un faux domaine miroir Python ressemblant au domaine officiel pour tromper les utilisateurs, selon un article de blog rédigé par les chercheurs de Checkmarx.
En altérant les packages Python populaires comme Colorama, utilisé par plus de 150 millions d'utilisateurs pour simplifier le processus de formatage du texte, les attaquants ont dissimulé du code malveillant dans des logiciels apparemment légitimes, étendant ainsi leur portée au-delà des référentiels GitHub.
Ils ont également exploité des comptes GitHub Top.gg de grande réputation pour insérer des commits malveillants et accroître la crédibilité de leurs actions. Top.gg compte 170,000 XNUMX membres.
Vol de données
Dans la dernière étape de l'attaque, le malware utilisé par le groupe menaçant vole des informations sensibles à la victime. Il peut cibler les plates-formes utilisateur populaires, notamment les navigateurs Web comme Opera, Chrome et Edge, en ciblant les cookies, les données de remplissage automatique et les informations d'identification. Le malware supprime également les comptes Discord et abuse des jetons déchiffrés pour obtenir un accès non autorisé aux comptes des victimes sur la plateforme.
Le malware peut voler les portefeuilles de crypto-monnaie de la victime, les données de session Telegram et les informations de profil Instagram. Dans ce dernier scénario, l'attaquant utilise les jetons de session de la victime pour récupérer les détails de son compte, en utilisant un enregistreur de frappe pour capturer les frappes au clavier, compromettant potentiellement les mots de passe et les messages personnels.
Les données volées lors de ces attaques individuelles sont ensuite exfiltrées vers le serveur de l'attaquant à l'aide de diverses techniques, notamment des services de partage de fichiers anonymes et des requêtes HTTP. Les attaquants utilisent des identifiants uniques pour suivre chaque victime.
Pour échapper à la détection, les attaquants ont utilisé des techniques d'obscurcissement complexes dans leur code, notamment la manipulation des espaces et des noms de variables trompeurs. Ils ont établi des mécanismes de persistance, modifié les registres système et exécuté des opérations de vol de données sur diverses applications logicielles.
Malgré ces tactiques sophistiquées, certains membres vigilants de la communauté Top.gg ont remarqué les activités malveillantes et les ont signalées, ce qui a conduit Cloudflare à supprimer les domaines abusés, selon Checkmarx. Même ainsi, Kadouri de Checkmarx considère toujours la menace comme « active ».
Comment protéger les développeurs
Les professionnels de la sécurité informatique doivent surveiller et auditer régulièrement les nouvelles contributions aux projets de code et se concentrer sur l’éducation et la sensibilisation des développeurs aux risques d’attaques de la chaîne d’approvisionnement.
« Nous croyons qu'il faut mettre la concurrence de côté et travailler ensemble pour protéger les écosystèmes open source des attaquants », déclare Kadouri. « Le partage des ressources est crucial pour avoir un avantage sur les acteurs menaçant la chaîne d’approvisionnement logicielle. »
Attendez-vous à ce que les attaques contre la chaîne d’approvisionnement logicielle se poursuivent, selon Kadouri. "Je pense que l'évolution des attaques contre la chaîne d'approvisionnement va s'accentuer dans la construction de pipelines, d'IA et de grands modèles de langage."
Récemment, des référentiels de modèles d'apprentissage automatique tels que Hugging Face ont offert aux acteurs malveillants la possibilité de injecter du code malveillant dans les environnements de développement, semblable aux référentiels open source npm et PyPI.
D'autres problèmes de sécurité de la chaîne d'approvisionnement logicielle sont apparus récemment, affectant les versions cloud de JetBrains. Plateforme de développement logiciel TeamCity gestionnaire ainsi que mises à jour de codes malveillants s'est glissé dans des centaines de référentiels GitHub en septembre.
Et la faiblesse des contrôles d’authentification et d’accès a permis aux hacktivistes iraniens de mener une attaque de la chaîne d'approvisionnement plus tôt ce mois-ci sur les universités israéliennes via un fournisseur de technologie.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
