Les acteurs de la menace inondent le référentiel de packages open source npm avec de faux packages qui ont même brièvement entraîné une attaque par déni de service (DoS).
« Les acteurs de la menace créent des sites Web malveillants et publient des packages vides avec des liens vers ces sites Web malveillants, profitant de la bonne réputation des écosystèmes open source sur les moteurs de recherche », a déclaré Jossef Harush Kadouri de Checkmarx. a dit dans un rapport publié la semaine dernière.
« Les attaques ont provoqué un déni de service (DoS) qui a rendu NPM instable avec des erreurs sporadiques » Service indisponible « . »
Alors que des campagnes similaires ont récemment été observées propageant des liens de phishing, la dernière vague a poussé le nombre de versions de packages à 1,42 million, une augmentation spectaculaire par rapport aux quelque 800 000 packages publiés sur npm.
La technique d’attaque tire parti du fait que les référentiels open source sont classés plus haut dans les résultats des moteurs de recherche pour créer des sites Web malveillants et télécharger des modules npm vides avec des liens vers ces sites dans les fichiers README.md.
« Étant donné que les écosystèmes open source sont très réputés sur les moteurs de recherche, tous les nouveaux packages open source et leurs descriptions héritent de cette bonne réputation et deviennent bien indexés sur les moteurs de recherche, ce qui les rend plus visibles pour les utilisateurs peu méfiants », a expliqué Harush Kadouri.
Étant donné que l’ensemble du processus est automatisé, la charge créée par la publication de nombreux packages a conduit NPM à rencontrer par intermittence des problèmes de stabilité vers la fin du mois de mars 2023.
Checkmarx souligne que lorsqu’il peut y avoir plusieurs acteurs derrière l’activité, l’objectif final est d’infecter le système de la victime avec des logiciels malveillants tels que RedLine Stealer, Glupteba, SmokeLoader et les mineurs de crypto-monnaie.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
D’autres liens amènent les utilisateurs à travers une série de pages intermédiaires qui mènent finalement à des sites de commerce électronique légitimes comme AliExpress avec des identifiants de parrainage, leur rapportant un profit lorsque la victime effectue un achat sur la plateforme. Une troisième catégorie consiste à inviter les utilisateurs russes à rejoindre une chaîne Telegram spécialisée dans la crypto-monnaie.
« La bataille contre les acteurs malveillants qui empoisonnent notre écosystème de chaîne d’approvisionnement logicielle continue d’être difficile, car les attaquants s’adaptent constamment et surprennent l’industrie avec des techniques nouvelles et inattendues », a déclaré Harush Kadouri.
Pour empêcher de telles campagnes automatisées, Checmarx a recommandé à npm d’intégrer des techniques anti-bot lors de la création du compte utilisateur.