Autre signe que les développeurs continuent d’être la cible d’attaques sur la chaîne d’approvisionnement logicielle, un certain nombre de packages malveillants ont été découverts dans le registre de caisse du langage de programmation Rust.
Les bibliothèques, mises en ligne entre le 14 et le 16 août 2023, ont été publiées par un utilisateur nommé « amaperf », Phylum dit dans un rapport publié la semaine dernière. Les noms des packages, désormais supprimés, sont les suivants : postgress, if-cfg, xrvrv, serd, oncecell, lazystatic et envlogger.
On ne sait pas exactement quel était l’objectif final de la campagne, mais les modules suspects hébergeaient des fonctionnalités permettant de capturer les informations du système d’exploitation (c’est-à-dire Windows, Linux, macOS ou Inconnu) et de transmettre les données à un canal Telegram codé en dur. via l’API de la plateforme de messagerie.
Cela suggère que la campagne n’en était peut-être qu’à ses débuts et que l’acteur malveillant a peut-être ratissé un large filet pour compromettre autant de machines de développement que possible afin de fournir des mises à jour malveillantes avec des capacités améliorées d’exfiltration de données.
« Avec l’accès aux clés SSH, à l’infrastructure de production et à l’adresse IP de l’entreprise, les développeurs constituent désormais une cible extrêmement précieuse », a déclaré la société.
Ce n’est pas la première fois que crates.io apparaît comme la cible d’une attaque contre la chaîne d’approvisionnement. En mai 2022, SentinelOne a découvert une campagne baptisée CrateDepression qui exploitait des techniques de typosquatting pour voler des informations sensibles et télécharger des fichiers arbitraires.
La divulgation intervient alors que Phylum a également révélé un package npm appelé aide aux e-mails qui, une fois installé, met en place un mécanisme de rappel pour exfiltrer les informations de la machine vers un serveur distant et lance les binaires cryptés qui l’accompagnent dans le cadre d’une attaque sophistiquée.
Le module, qui a été annoncé en tant que « bibliothèque JavaScript pour valider l’adresse e-mail par rapport à différents formats », a été supprimée par npm, mais pas avant d’avoir attiré 707 téléchargements depuis son téléchargement dans le référentiel le 24 août 2023.
« L’exfiltration des données est tentée via HTTP, et si cela échoue, l’attaquant revient à l’exfiltration des données via DNS », explique la société. dit. « Les binaires déploient des outils de test d’intrusion comme dnscat2, courageet la balise de frappe au cobalt. »
« Une action simple comme exécuter npm install peut déclencher cette chaîne d’attaque complexe, obligeant les développeurs à faire preuve de prudence et de diligence raisonnable lorsqu’ils mènent leurs activités de développement logiciel. »