Un acteur mena\u00e7ant surnomm\u00e9 “RED-LILI<\/strong>” a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne d’attaque \u00e0 grande \u00e9chelle de la cha\u00eene d’approvisionnement ciblant le r\u00e9f\u00e9rentiel de packages NPM en publiant pr\u00e8s de 800 modules malveillants.<\/p>\n “Habituellement, les attaquants utilisent un compte NMP jetable anonyme \u00e0 partir duquel ils lancent leurs attaques”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 isra\u00e9lienne Checkmarx. mentionn\u00e9<\/a>. “Comme il semble cette fois, l’attaquant a enti\u00e8rement automatis\u00e9 le processus de cr\u00e9ation de compte NPM et a ouvert des comptes d\u00e9di\u00e9s, un par package, ce qui rend son nouveau lot de packages malveillants plus difficile \u00e0 rep\u00e9rer.”<\/p>\n Les conclusions s’appuient sur des rapports r\u00e9cents de JFrog et Sonatype<\/a>qui ont tous deux d\u00e9taill\u00e9 des centaines de packages NPM exploitant des techniques telles que la confusion des d\u00e9pendances et le typosquattage pour cibler les d\u00e9veloppeurs Azure, Uber et Airbnb.<\/p>\n Selon une analyse d\u00e9taill\u00e9e du modus operandi de RED-LILI, les premi\u00e8res preuves d’une activit\u00e9 anormale se seraient produites le 23 f\u00e9vrier 2022, avec le groupe de paquets malveillants publi\u00e9s en “rafales” sur une p\u00e9riode d’une semaine.<\/p>\n Plus pr\u00e9cis\u00e9ment, le processus d’automatisation pour t\u00e9l\u00e9charger les biblioth\u00e8ques malveillantes sur NPM, que Checkmarx d\u00e9crit comme une “usine”, implique l’utilisation d’une combinaison de code Python personnalis\u00e9 et d’outils de test Web tels que Selenium pour simuler les actions de l’utilisateur n\u00e9cessaires \u00e0 la r\u00e9plication du processus de cr\u00e9ation d’utilisateur dans le registre. .<\/p>\n Pour passer la barri\u00e8re de v\u00e9rification du mot de passe \u00e0 usage unique (OTP) mise en place par NPM, l’attaquant utilise un outil open source appel\u00e9 Interactionsh<\/a> pour extraire l’OTP envoy\u00e9 par les serveurs NPM \u00e0 l’adresse e-mail fournie lors de l’inscription, permettant ainsi \u00e0 la demande de cr\u00e9ation de compte de r\u00e9ussir.<\/p>\n Arm\u00e9 de ce tout nouveau compte utilisateur NPM, l’auteur de la menace proc\u00e8de ensuite \u00e0 la cr\u00e9ation et \u00e0 la publication d’un package malveillant, un seul par compte, de mani\u00e8re automatis\u00e9e, mais pas avant de g\u00e9n\u00e9rer un jeton d’acc\u00e8s<\/a> afin de publier le package sans n\u00e9cessiter de d\u00e9fi OTP par e-mail.<\/p>\n “Alors que les attaquants de la cha\u00eene d’approvisionnement am\u00e9liorent leurs comp\u00e9tences et compliquent la vie de leurs d\u00e9fenseurs, cette attaque marque une nouvelle \u00e9tape dans leur progression”, ont d\u00e9clar\u00e9 les chercheurs. “En distribuant les packages sur plusieurs noms d’utilisateur, l’attaquant rend plus difficile pour les d\u00e9fenseurs de corr\u00e9ler [and] abattez-les tous d’un \u00ab seul coup \u00bb. Par cela, bien s\u00fbr, augmentant les risques d’infection.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Une-attaque-a-grande-echelle-de-la-chaine-dapprovisionnement-a.png\")
<\/a><\/div>\n![\"Logiciels](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648543735_462_Une-attaque-a-grande-echelle-de-la-chaine-dapprovisionnement-a.jpg\" "\\"Logiciels")
<\/div>\n<\/a><\/div>\n