Un acteur menaçant surnommé « RED-LILI » a été lié à une campagne d’attaque à grande échelle de la chaîne d’approvisionnement ciblant le référentiel de packages NPM en publiant près de 800 modules malveillants.
« Habituellement, les attaquants utilisent un compte NMP jetable anonyme à partir duquel ils lancent leurs attaques », a déclaré la société de sécurité israélienne Checkmarx. mentionné. « Comme il semble cette fois, l’attaquant a entièrement automatisé le processus de création de compte NPM et a ouvert des comptes dédiés, un par package, ce qui rend son nouveau lot de packages malveillants plus difficile à repérer. »
Les conclusions s’appuient sur des rapports récents de JFrog et Sonatypequi ont tous deux détaillé des centaines de packages NPM exploitant des techniques telles que la confusion des dépendances et le typosquattage pour cibler les développeurs Azure, Uber et Airbnb.
Selon une analyse détaillée du modus operandi de RED-LILI, les premières preuves d’une activité anormale se seraient produites le 23 février 2022, avec le groupe de paquets malveillants publiés en « rafales » sur une période d’une semaine.
Plus précisément, le processus d’automatisation pour télécharger les bibliothèques malveillantes sur NPM, que Checkmarx décrit comme une « usine », implique l’utilisation d’une combinaison de code Python personnalisé et d’outils de test Web tels que Selenium pour simuler les actions de l’utilisateur nécessaires à la réplication du processus de création d’utilisateur dans le registre. .
Pour passer la barrière de vérification du mot de passe à usage unique (OTP) mise en place par NPM, l’attaquant utilise un outil open source appelé Interactionsh pour extraire l’OTP envoyé par les serveurs NPM à l’adresse e-mail fournie lors de l’inscription, permettant ainsi à la demande de création de compte de réussir.
Armé de ce tout nouveau compte utilisateur NPM, l’auteur de la menace procède ensuite à la création et à la publication d’un package malveillant, un seul par compte, de manière automatisée, mais pas avant de générer un jeton d’accès afin de publier le package sans nécessiter de défi OTP par e-mail.
« Alors que les attaquants de la chaîne d’approvisionnement améliorent leurs compétences et compliquent la vie de leurs défenseurs, cette attaque marque une nouvelle étape dans leur progression », ont déclaré les chercheurs. « En distribuant les packages sur plusieurs noms d’utilisateur, l’attaquant rend plus difficile pour les défenseurs de corréler [and] abattez-les tous d’un « seul coup ». Par cela, bien sûr, augmentant les risques d’infection. »