Les chercheurs en cybersécurité ont découvert plusieurs packages de crypto-monnaie sur le registre NPM qui ont été détournés pour siphon des informations sensibles telles que Variables d’environnement à partir de systèmes compromis.
“Certains de ces packages vivent sur NPMJS.com depuis plus de 9 ans et fournissent des fonctionnalités légitimes aux développeurs de blockchain”, chercheur sonatype AX Sharma dit. “Cependant, […] Les dernières versions de chacun de ces forfaits ont été chargées de scripts obscurcis. “
Les forfaits affectés et leurs versions détournées sont répertoriées ci-dessous –
- Counsert-Currency Map (2.1.8)
- BNB-Javascript-Sdk-Nobroadcast (2.16.16)
- @ Bithighlander / Bitcoin-Cash-Js-Lib (5.2.2)
- Eslint-Config-Travix (6.3.1)
- @ Crosswise-Finance1 / SDK-V2 (0.1.21)
- @ Keepkey / Device-Protocol (7.13.3)
- @ Veniceswap / Uikit (0,65,34)
- @ VenicesWap / Eslint-Config-Panceke (1.6.2)
- Babel-préset-travix (1.2.1)
- @ travix / ui-thems (1.1.5)
- @ Coinmasters / Types (4.8.16)
L’analyse de ces packages par la société de sécurité de la chaîne d’approvisionnement des logiciels a révélé qu’elles avaient été empoisonnées avec du code fortement obscurci dans deux scripts différents: “package / scripts / lancers.js” et “package / scripts / diagnostic-report.js”.
Le code JavaScript, qui s’exécute immédiatement après l’installation des packages, est conçu pour récolter des données sensibles telles que les clés d’API, les jetons d’accès, les clés SSH et les exfiltrater sur un serveur distant (“EOI2ECTD5A5TN1H.M.PipeDream[.]filet”).
Fait intéressant, aucun des référentiels GitHub associés aux bibliothèques n’a été modifié pour inclure les mêmes changements, ce qui soulève des questions sur la façon dont les acteurs de la menace derrière la campagne ont réussi à pousser du code malveillant. On ne sait actuellement pas quel est l’objectif final de la campagne.
“Nous émettons l’hypothèse que la cause du détournement est de vieux comptes de mainteneur de NPM se compromettant soit via des tels d’identification (c’est là que les acteurs de menace réessayent les noms d’utilisateur et les mots de passe divulgués dans les violations précédentes pour compromettre les comptes sur d’autres sites Web), ou une prise de contrôle de domaine expirée”, a déclaré Sharma.
“Compte tenu du calendrier simultané des attaques contre plusieurs projets de mainteneurs distincts, le premier scénario (contrôle des comptes de maintien) semble être plus probablement par opposition aux attaques de phishing bien orchestrées.”
Les résultats soulignent la nécessité de sécuriser les comptes avec une authentification à deux facteurs (2FA) pour éviter les attaques de prise de contrôle. Ils mettent également en évidence les défis associés à l’application de telles garanties de sécurité lorsque les projets open-source atteignent la fin de vie ou ne sont plus activement maintenus.
“Le cas met en évidence un besoin urgent de mesures de sécurité de la chaîne d’approvisionnement améliorées et une plus grande vigilance dans la surveillance des développeurs de registres de logiciels tiers”, a déclaré Sharma. “Les organisations doivent hiérarchiser la sécurité à chaque étape du processus de développement pour atténuer les risques associés aux dépendances tierces.”




