Un cas d’attaque de la cha\u00eene d’approvisionnement logicielle a \u00e9t\u00e9 observ\u00e9 dans le langage de programmation Rust registre des caisses<\/a> qui a tir\u00e9 parti des techniques de typosquattage pour publier une biblioth\u00e8que malveillante contenant des logiciels malveillants.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 SentinelOne a surnomm\u00e9 l’attaque “CaisseD\u00e9pression<\/a>.”<\/p>\n Attaques de typosquattage prend place<\/a> lorsqu’un adversaire imite le nom d’un package populaire sur un registre public dans l’espoir que les d\u00e9veloppeurs t\u00e9l\u00e9chargent accidentellement le package malveillant au lieu de la biblioth\u00e8que l\u00e9gitime.<\/p>\n Dans ce cas, la caisse en question est “rustdecimal”, un typosquat du r\u00e9el “rouille_d\u00e9cimal<\/a>” qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 plus de 3,5 millions de fois \u00e0 ce jour. Le package a \u00e9t\u00e9 signal\u00e9<\/a> plus t\u00f4t ce mois-ci le 3 mai par Askar Safin, un d\u00e9veloppeur bas\u00e9 \u00e0 Moscou.<\/p>\n Selon un consultatif<\/a> publi\u00e9 par les responsables de Rust, la caisse aurait \u00e9t\u00e9 pouss\u00e9e pour la premi\u00e8re fois le 25 mars 2022, attirant moins de 500 t\u00e9l\u00e9chargements avant d’\u00eatre d\u00e9finitivement supprim\u00e9e du r\u00e9f\u00e9rentiel.<\/p>\n Comme les pr\u00e9c\u00e9dentes attaques de typosquattage de ce type, la biblioth\u00e8que mal orthographi\u00e9e reproduit l’int\u00e9gralit\u00e9 des fonctionnalit\u00e9s de la biblioth\u00e8que d’origine tout en introduisant une fonction malveillante con\u00e7ue pour r\u00e9cup\u00e9rer un binaire Golang h\u00e9berg\u00e9 sur une URL distante.<\/p>\n Plus pr\u00e9cis\u00e9ment, la nouvelle fonction v\u00e9rifie si le “GITLAB_CI<\/a>” la variable d’environnement est d\u00e9finie, sugg\u00e9rant un “int\u00e9r\u00eat singulier pour l’int\u00e9gration continue de GitLab (CI<\/a>) pipelines \u00bb, a not\u00e9 SentinelOne.<\/p>\n La charge utile, qui est \u00e9quip\u00e9e pour capturer des captures d’\u00e9cran, enregistrer des frappes au clavier et t\u00e9l\u00e9charger des fichiers arbitraires, est capable de fonctionner \u00e0 la fois sur Linux et macOS, mais pas sur les syst\u00e8mes Windows. Les objectifs ultimes de la campagne sont encore inconnus.<\/p>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653067812_69_Des-chercheurs-decouvrent-une-attaque-de-la-chaine-dapprovisionnement-Rust.jpg\")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n