Dans ce qui est un nouveau type d’attaque de la chaîne d’approvisionnement logicielle visant les projets open source, il est apparu que les acteurs de la menace pourraient prendre le contrôle des compartiments Amazon S3 expirés pour servir des binaires malveillants sans altérer les modules eux-mêmes.
« Des binaires malveillants volent les identifiants d’utilisateur, les mots de passe, les variables d’environnement de la machine locale et le nom d’hôte local, puis exfiltrent les données volées vers le compartiment piraté », Checkmarx a déclaré le chercheur Guy Nachshon.
L’attaque a été observée pour la première fois dans le cas d’un paquet npm appelé bignumqui, jusqu’à la version 0.13.0, s’appuyait sur un compartiment Amazon S3 pour télécharger des versions binaires prédéfinies d’un module complémentaire nommé node-pre-gyp lors de l’installation.
« Ces binaires ont été publiés sur un compartiment S3 maintenant expiré qui a depuis été revendiqué par un tiers malveillant qui sert maintenant des binaires contenant des logiciels malveillants qui exfiltrent les données de l’ordinateur de l’utilisateur », selon un Avis GitHub publié le 24 mai 2023.
Un acteur inconnu de la menace aurait saisi l’opportunité que le compartiment S3 était autrefois actif pour diffuser des logiciels malveillants lorsque des utilisateurs sans méfiance ont téléchargé le package en question.
« Si un package pointait vers un bucket comme source, le pointeur continuerait d’exister même après la suppression du bucket », a expliqué Nachshon. « Cette anomalie a permis à l’attaquant de rediriger le pointeur vers le seau pris en charge. »
Une ingénierie inverse de l’échantillon de logiciel malveillant a révélé qu’il est capable de piller les informations d’identification de l’utilisateur et les détails de l’environnement, et de transmettre les informations au même compartiment piraté.
Checkmarx a déclaré avoir trouvé de nombreux packages utilisant des compartiments S3 abandonnés, les rendant sensibles au nouveau vecteur d’attaque. Au contraire, ce développement est un signe que les acteurs de la menace sont constamment à la recherche de différentes façons d’empoisonner la chaîne d’approvisionnement des logiciels.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
« Cette nouvelle tournure dans le domaine des prises de contrôle de sous-domaines sert de signal d’alarme aux développeurs et aux organisations », a déclaré Nachshon. « Un compartiment d’hébergement abandonné ou un sous-domaine obsolète n’est pas seulement un artefact oublié ; entre de mauvaises mains, il peut devenir une arme puissante pour le vol et l’intrusion de données. »
Le développement intervient également près d’une semaine après Cyble déterré 160 packages python malveillants qui auraient été téléchargés plus de 45 000 fois et comportaient des capacités pour extraire les identifiants de connexion et les détails de la carte de crédit.