Les chercheurs en cybersécurité ont découvert un nouveau lot de packages malveillants dans le registre des packages npm, conçus pour exfiltrer les configurations Kubernetes et les clés SSH des machines compromises vers un serveur distant.
Sonatype a déclaré avoir découvert jusqu’à présent 14 packages npm différents : @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am- fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy- fe, @virtualsearchtable/virtualsearchtable et Shineouts.
« Ces paquets […] tenter d’usurper l’identité de bibliothèques et de composants JavaScript, tels que les plugins ESLint et les outils TypeScript SDK », la société de sécurité de la chaîne d’approvisionnement logicielle dit. « Mais lors de l’installation, plusieurs versions des packages ont été vues exécutant du code obscurci pour collecter et siphonner les fichiers sensibles de la machine cible. »
Outre la configuration Kubernetes et les clés SSH, les modules sont également capables de collecter des métadonnées système telles que le nom d’utilisateur, l’adresse IP et le nom d’hôte, qui sont toutes transmises à un domaine nommé app.threatest.[.]com.
La révélation intervient un peu plus d’une semaine après Sonatype détecté des packages NPM contrefaits qui exploitent une technique connue sous le nom de confusion de dépendances pour usurper l’identité de packages internes prétendument utilisés par les développeurs de PayPal Zettle et Airbnb dans le cadre d’une expérience de recherche éthique.
Cela dit, les acteurs malveillants continuent de cibler les registres open source comme npm et PyPI avec des cryptojackers, des infostealers et d’autres nouveaux logiciels malveillants pour compromettre les systèmes des développeurs et, à terme, empoisonner la chaîne d’approvisionnement des logiciels.
Dans un cas souligné par Phylum plus tôt ce mois-ci, un module npm nommé hardhat-gas-report est resté inoffensif pendant plus de huit mois depuis le 6 janvier 2023, avant de recevoir deux mises à jour consécutives le 1er septembre 2023, pour inclure des logiciels malveillants. JavaScript capable d’exfiltrer les clés privées Ethereum copiées dans le presse-papiers vers un serveur distant.
« Cette approche ciblée indique une compréhension sophistiquée de la sécurité des crypto-monnaies et suggère que l’attaquant vise à capturer et à exfiltrer des clés cryptographiques sensibles pour un accès non autorisé aux portefeuilles Ethereum ou à d’autres actifs numériques sécurisés », a déclaré la société. dit.
Niveau de sécurité SaaS : un guide complet sur l’ITDR et le SSPM
Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont l’ITDR identifie et atténue les menaces. Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.
Un autre cas de tentative d’attaque de la chaîne d’approvisionnement implique un package npm astucieux appelé gcc-patch qui se fait passer pour un package sur mesure Compilateur GCC mais héberge en réalité un mineur de cryptomonnaie qui « exploite secrètement la puissance de calcul de développeurs innocents, dans le but de tirer profit à leurs dépens ».
De plus, ces campagnes se sont diversifiées pour couvrir les écosystèmes Javascript (npm), Python (PyPI) et Ruby (RubyGems), les acteurs malveillants téléchargeant plusieurs packages dotés de capacités de collecte et d’exfiltration de données et les suivant en publiant de nouvelles versions contenant des charges utiles malveillantes. .
La campagne cible spécifiquement les utilisateurs d’Apple macOS, indiquant que les logiciels malveillants présents dans les référentiels de packages open source sont non seulement de plus en plus répandus, mais qu’ils ciblent également d’autres systèmes d’exploitation au-delà de Windows.
« L’auteur de ces paquets mène une vaste campagne contre les développeurs de logiciels », déclare Phylum noté dans une analyse. « L’objectif final de cette campagne reste flou. »