Une nouvelle attaque \u00e0 grande \u00e9chelle de la cha\u00eene d’approvisionnement a \u00e9t\u00e9 observ\u00e9e ciblant les d\u00e9veloppeurs Azure avec pas moins de 218 packages NPM malveillants dans le but de voler des informations personnelles identifiables.<\/p>\n
“Apr\u00e8s avoir inspect\u00e9 manuellement certains de ces paquets, il est devenu \u00e9vident qu’il s’agissait d’une attaque cibl\u00e9e contre l’ensemble Port\u00e9e @azure NPM<\/a>par un attaquant qui a utilis\u00e9 un script automatique pour cr\u00e9er des comptes et t\u00e9l\u00e9charger des packages malveillants qui couvrent l’int\u00e9gralit\u00e9 de cette port\u00e9e”, ont d\u00e9clar\u00e9 les chercheurs de JFrog, Andrey Polkovnychenko et Shachar Menashe. mentionn\u00e9<\/a> dans un nouveau rapport.<\/p>\n L’ensemble des packages malveillants a \u00e9t\u00e9 divulgu\u00e9 aux responsables du NPM environ deux jours apr\u00e8s leur publication, ce qui a entra\u00een\u00e9 leur suppression rapide, mais pas avant que chacun des packages ait \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 environ 50 fois en moyenne.<\/p>\n L’attaque fait r\u00e9f\u00e9rence \u00e0 ce qu’on appelle le typosquatting, qui se produit lorsque des acteurs malveillants poussent des packages malveillants avec des noms imitant des biblioth\u00e8ques l\u00e9gitimes vers un registre de logiciels public tel que NPM ou PyPI dans l’espoir d’inciter les utilisateurs \u00e0 les installer.<\/p>\n Dans ce cas pr\u00e9cis observ\u00e9 par la firme DevSecOps, l’adversaire aurait cr\u00e9\u00e9 des dizaines d’homologues malveillants portant le m\u00eame nom que leurs packages de port\u00e9e @azure existants mais sans le nom de la port\u00e9e (par exemple, @azure\/core-tracing vs core- trac\u00e9).<\/p>\n “L’attaquant s’appuie sur le fait que certains d\u00e9veloppeurs peuvent omettre par erreur le pr\u00e9fixe @azure lors de l’installation d’un package”, ont d\u00e9clar\u00e9 les chercheurs. “Par exemple, ex\u00e9cuter npm install core-tracing par erreur, au lieu de la commande correcte – npm install @azure\/core-tracing.”<\/p>\n Non seulement l’attaque a tir\u00e9 parti d’un nom d’utilisateur unique pour t\u00e9l\u00e9charger chaque package dans le r\u00e9f\u00e9rentiel afin d’\u00e9viter d’\u00e9veiller les soup\u00e7ons, mais les biblioth\u00e8ques contenant des logiciels malveillants comportaient \u00e9galement des num\u00e9ros de version \u00e9lev\u00e9s (par exemple, 99.10.9), indiquant une tentative de mener une attaque de confusion de d\u00e9pendance. .<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Alertes-CISA-sur-les-failles-activement-exploitees-dans-la-plate-forme.png\")
<\/a><\/div>\n
![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n