Des centaines de paquets malveillants supplémentaires découverts sur npm
Les chercheurs continuent d’enquêter sur une vague de paquets npm malveillants, le nombre de paquets publiés atteignant désormais plus de 700.
La semaine dernière, les chercheurs de JFrog ont révélé une campagne dans lequel un acteur inconnu de la menace avait publié au moins 200 paquets malveillants Node Package Manager (npm). L’équipe a déclaré que les dépôts ont été détectés pour la première fois le 21 mars et se sont rapidement multipliés. Chaque paquet npm était délibérément nommé pour imiter un logiciel légitime.
Un script automatisé a ciblé les paquets utilisés par les développeurs Microsoft Azure, notamment @azure, @azure-rest, @azure-tests, et d’autres, dans le gestionnaire de paquets npm.
Une campagne plus large que prévue
Lundi, les chercheurs de Checkmarx Aviad Gershon et Jossef Harush ont déclaré que leur équipe a également suivi ces activités et a enregistré plus de 600 paquets malveillants publiés en cinq jours, ce qui porte le total à plus de 700.
Pour essayer de garder les attaques sous le radar, le responsable de l’attaque a utilisé des comptes d’utilisateur uniques.
“Ce n’est pas courant pour les attaques automatisées que nous voyons, habituellement, les attaquants créent un seul utilisateur et font éclater leurs attaques sur celui-ci”, explique Checkmarx. “À partir de ce comportement, nous pouvons conclure que l’attaquant a construit un processus d’automatisation de bout en bout, y compris l’enregistrement des utilisateurs.”
Selon Checkmarx, l’attaquant développe des paquets npm malveillants en s’appuyant sur la confusion des dépendances pour réussir à duper les développeurs et à voler leurs données.
Comme l’a déjà noté JFrog, la méthode d’attaque s’appuie sur le typosquattage et des noms qui imitent des paquets dignes de confiance, en supprimant souvent la partie “scope” du nom d’un paquet pour qu’il ait l’air légitime.
Le serveur de commande et de contrôle (C2) utilisé pour gérer l’infrastructure de la vague d’attaque, “rt11[.]ml”, est également l’adresse du destinataire des informations volées à envoyer. Le C2 semble exécuter Interactsh, un outil open source écrit dans le langage de programmation Go pour l’extraction de données.
Checkmarx a mis en place son propre domaine et son propre serveur, avec un client Interactsh, pour mieux comprendre la méthode de l’attaquant. Un script a ensuite été écrit qui ouvre les comptes NPM sur demande, en utilisant le logiciel de test web SeleniumLibrary. Le script peut générer de manière aléatoire des noms d’utilisateur et des adresses électroniques sous le domaine de test et lance automatiquement le processus d’inscription.
C’est ici qu’intervient Interactsh. Pour contourner le contrôle de vérification du mot de passe à usage unique utilisé par NPM, Interactsh extrait automatiquement le mot de passe et le renvoie au formulaire d’inscription, permettant ainsi à la demande de création de comptes d’aboutir.
L’équipe a ensuite suivi la méthode de l’attaquant en créant un modèle de paquet npm et un script capable de communiquer avec les utilitaires NPM lors des étapes de ” connexion ” et de ” publication “.
Publications en rafale
” Il convient de mentionner qu’une fois le compte utilisateur ouvert, il est possible de le configurer d’une manière qui ne nécessite pas de mot de passe à usage unique afin de publier un paquet “, ont déclaré les chercheurs. “Cela pourrait être fait en utilisant un token d’authentification et en le configurant pour fonctionner sans 2FA. Nous présumons que c’est de cette manière que les attaquants qui ont publié des rafales de paquets malveillants ont pu automatiser leur processus sans mettre en place le mécanisme décrit.”
Checkmarx, ainsi que JFrog, ont signalé les paquets malveillants à l’équipe de sécurité de NPM. En outre, la société fournissant le serveur C2 a été informée.
“En distribuant les paquets sur plusieurs noms d’utilisateur, l’attaquant rend plus difficile pour les défenseurs de les supprimer tous d’un “seul coup””, note Checkmarx. “En cela, bien sûr, il rend les chances d’infection plus élevées. Pour être clair, les éléments de base nécessaires à la création d’un seul utilisateur par paquet ne sont pas une tâche triviale.”
Source : “ZDNet.com”
