Les chercheurs en cybersécurité ont découvert une nouvelle campagne en cours visant l’écosystème npm qui exploite une chaîne d’exécution unique pour fournir une charge utile inconnue aux systèmes ciblés.
« Les packages en question semblent être publiés par paires, chaque paire travaillant à l’unisson pour récupérer des ressources supplémentaires qui sont ensuite décodées et/ou exécutées », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels Phylum. a dit dans un rapport publié la semaine dernière.
À cette fin, l’ordre dans lequel la paire de packages est installé est primordial pour réussir une attaque, car le premier des deux modules est conçu pour stocker localement un jeton récupéré sur un serveur distant. La campagne a été découverte pour la première fois le 11 juin 2023.
Le deuxième package transmet ensuite ce jeton en tant que paramètre à côté du type de système d’exploitation à un Requête HTTP GET pour acquérir un second script depuis le serveur distant. Une exécution réussie renvoie une chaîne encodée en Base64 qui est immédiatement exécutée, mais uniquement si cette chaîne contient plus de 100 caractères.
Phylum a révélé que le point de terminaison a jusqu’à présent renvoyé la chaîne « bm8gaGlzdG9yeSBhdmFpbGFibGU= », qui se décode en « aucun historique disponible », ce qui implique soit que l’attaque est toujours en cours, soit qu’elle est conçue pour renvoyer une charge utile uniquement à des moments précis.
Une autre hypothèse pour ce comportement pourrait être qu’il dépend de l’adresse IP (et par extension, de l’emplacement) à partir de laquelle la requête provenant du premier paquet est envoyée lors de la génération du jeton.
L’identité de l’acteur de la menace à l’origine de l’opération n’est actuellement pas connue, bien qu’elle présente toutes les caractéristiques d’une menace de chaîne d’approvisionnement « raisonnablement » sophistiquée compte tenu des efforts déployés par l’adversaire pour exécuter l’attaque, tout en prenant des mesures pour livrer dynamiquement la prochaine – charge utile de scène pour échapper à la détection.
« Il est crucial que chaque package d’une paire soit exécuté de manière séquentielle, dans le bon ordre et sur la même machine pour garantir un fonctionnement réussi », a noté Phylum. « Cette attaque soigneusement orchestrée rappelle brutalement la complexité en constante évolution des acteurs modernes de la menace dans l’écosystème open source. »
La divulgation intervient alors que Sonatype a découvert un ensemble de six packages malveillants sur le référentiel Python Package Index (PyPI) – cassé-rcl, casséscolors, casséscolors2, casséscolors3, cassésrcl et trexcolors – qui ont été téléchargés par un seul compte nommé cassé.
« Ces packages ciblent le système d’exploitation Windows et sont identiques en ce qui concerne leur versioning », a déclaré le chercheur en sécurité et journaliste Ax Sharma. a dit. « Lors de l’installation, ces packages se téléchargent simplement et exécuter un cheval de Troie hébergé sur les serveurs de Discord. »
Sonatype a également découvert un package appelé libiobe capable de cibler à la fois les systèmes d’exploitation Windows et Linux. Sur les machines exécutant Windows, le package fournit une voleur d’informationsalors que sous Linux, il est configuré pour profiler le système et exfiltrer ces informations vers un point de terminaison Telegram.
« Il est difficile de déterminer qui exécuterait finalement des packages avec de tels noms ou qui ils ciblent spécifiquement », a noté Sharma. « Bien que ces packages n’utilisent pas de nouvelles charges utiles ou tactiques, ou aient des cibles évidentes, ils témoignent des attaques malveillantes en cours qui ciblent les registres de logiciels open source comme PyPI et npm. »