Une nouvelle campagne malveillante a été observée piratant des comptes GitHub et émettant du code malveillant déguisé en contributions Dependabot dans le but de voler les mots de passe des développeurs.
« Le code malveillant exfiltre les secrets définis du projet GitHub vers un serveur C2 malveillant et modifie tous les fichiers javascript existants dans le projet attaqué avec un code malveillant de vol de mot de passe de formulaire Web affectant tout utilisateur final soumettant son mot de passe dans un formulaire Web », Checkmarx dit dans un rapport technique.
Le malware est également conçu pour capturer les secrets et variables GitHub sur un serveur distant au moyen d’une action GitHub.
La société de sécurité de la chaîne d’approvisionnement en logiciels a déclaré avoir observé des engagements atypiques dans des centaines de référentiels GitHub publics et privés entre le 8 et le 11 juillet 2023.
Il est apparu que les victimes se sont fait voler leurs jetons d’accès personnels GitHub et ont été utilisés par les acteurs de la menace pour valider du code malveillant dans les référentiels des utilisateurs en se faisant passer pour Dependabot.
Dependabot est conçu pour alerter les utilisateurs des failles de sécurité dans les dépendances d’un projet en automatique générer des demandes de tirage pour les tenir à jour.
« Les attaquants ont accédé aux comptes à l’aide de PAT (Personal Access Token) compromis, très probablement exfiltrés silencieusement de l’environnement de développement de la victime », a indiqué la société. La plupart des utilisateurs compromis se trouvent en Indonésie.
Cependant, la méthode exacte par laquelle ce vol a pu avoir lieu n’est pas claire à l’heure actuelle, même si l’on soupçonne qu’il pourrait s’agir d’un paquet malveillant installé par inadvertance par les développeurs.
Ce développement met en évidence les tentatives continues des acteurs menaçants d’empoisonner les écosystèmes open source et de faciliter les compromissions dans la chaîne d’approvisionnement.
En témoigne une nouvelle campagne d’exfiltration de données ciblant à la fois npm et PyPI, qui utilise jusqu’à 39 packages contrefaits pour collecter des informations sensibles sur la machine et transmettre les détails à un serveur distant.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Les modules, publiés sur plusieurs jours entre le 12 et le 24 septembre 2023, démontrent une augmentation progressive de la complexité, de la portée et des techniques d’obscurcissement, Phylum dit.
La société israélienne suit également ce qu’elle a qualifié de vaste campagne de typosquat visant npm, dans laquelle 125 packages se faisant passer pour angulaire et réactif sont utilisés pour envoyer des informations machine à un canal Discord distant.
Cependant, l’activité semble faire partie d’un « projet de recherche », l’auteur affirmant qu’il est fait pour « découvrir si l’un des programmes de bug bounty auquel je participe est affecté par l’un des packages afin que je puisse être le premier à les avertir et à protéger leurs infrastructures. »
« Cela constitue une violation de la politique d’utilisation acceptable du NPM, et ce type de campagnes met à rude épreuve les personnes chargées de maintenir ces écosystèmes propres », a déclaré Phylum. mis en garde.