{"id":804098,"date":"2023-06-27T16:44:27","date_gmt":"2023-06-27T18:44:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-en-cours-cible-lecosysteme-npm-avec-une-chaine-dexecution-unique\/"},"modified":"2023-06-27T16:44:30","modified_gmt":"2023-06-27T18:44:30","slug":"une-nouvelle-campagne-en-cours-cible-lecosysteme-npm-avec-une-chaine-dexecution-unique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-nouvelle-campagne-en-cours-cible-lecosysteme-npm-avec-une-chaine-dexecution-unique\/","title":{"rendered":"Une nouvelle campagne en cours cible l’\u00e9cosyst\u00e8me npm avec une cha\u00eene d’ex\u00e9cution unique"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 juin 2023<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cha\u00eene d’approvisionnement \/ S\u00e9curit\u00e9 des logiciels<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une nouvelle campagne en cours visant l’\u00e9cosyst\u00e8me npm qui exploite une cha\u00eene d’ex\u00e9cution unique pour fournir une charge utile inconnue aux syst\u00e8mes cibl\u00e9s.<\/p>\n

“Les packages en question semblent \u00eatre publi\u00e9s par paires, chaque paire travaillant \u00e0 l’unisson pour r\u00e9cup\u00e9rer des ressources suppl\u00e9mentaires qui sont ensuite d\u00e9cod\u00e9es et\/ou ex\u00e9cut\u00e9es”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement en logiciels Phylum. a dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n

\u00c0 cette fin, l’ordre dans lequel la paire de packages est install\u00e9 est primordial pour r\u00e9ussir une attaque, car le premier des deux modules est con\u00e7u pour stocker localement un jeton r\u00e9cup\u00e9r\u00e9 sur un serveur distant. La campagne a \u00e9t\u00e9 d\u00e9couverte pour la premi\u00e8re fois le 11 juin 2023.<\/p>\n

Le deuxi\u00e8me package transmet ensuite ce jeton en tant que param\u00e8tre \u00e0 c\u00f4t\u00e9 du type de syst\u00e8me d’exploitation \u00e0 un Requ\u00eate HTTP GET<\/a> pour acqu\u00e9rir un second script depuis le serveur distant. Une ex\u00e9cution r\u00e9ussie renvoie une cha\u00eene encod\u00e9e en Base64 qui est imm\u00e9diatement ex\u00e9cut\u00e9e, mais uniquement si cette cha\u00eene contient plus de 100 caract\u00e8res.<\/p>\n

\"La<\/a><\/center><\/div>\n

Phylum a r\u00e9v\u00e9l\u00e9 que le point de terminaison a jusqu’\u00e0 pr\u00e9sent renvoy\u00e9 la cha\u00eene “bm8gaGlzdG9yeSBhdmFpbGFibGU=”, qui se d\u00e9code en “aucun historique disponible”, ce qui implique soit que l’attaque est toujours en cours, soit qu’elle est con\u00e7ue pour renvoyer une charge utile uniquement \u00e0 des moments pr\u00e9cis.<\/p>\n

Une autre hypoth\u00e8se pour ce comportement pourrait \u00eatre qu’il d\u00e9pend de l’adresse IP (et par extension, de l’emplacement) \u00e0 partir de laquelle la requ\u00eate provenant du premier paquet est envoy\u00e9e lors de la g\u00e9n\u00e9ration du jeton.<\/p>\n

L’identit\u00e9 de l’acteur de la menace \u00e0 l’origine de l’op\u00e9ration n’est actuellement pas connue, bien qu’elle pr\u00e9sente toutes les caract\u00e9ristiques d’une menace de cha\u00eene d’approvisionnement “raisonnablement” sophistiqu\u00e9e compte tenu des efforts d\u00e9ploy\u00e9s par l’adversaire pour ex\u00e9cuter l’attaque, tout en prenant des mesures pour livrer dynamiquement la prochaine – charge utile de sc\u00e8ne pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n

“Il est crucial que chaque package d’une paire soit ex\u00e9cut\u00e9 de mani\u00e8re s\u00e9quentielle, dans le bon ordre et sur la m\u00eame machine pour garantir un fonctionnement r\u00e9ussi”, a not\u00e9 Phylum. “Cette attaque soigneusement orchestr\u00e9e rappelle brutalement la complexit\u00e9 en constante \u00e9volution des acteurs modernes de la menace dans l’\u00e9cosyst\u00e8me open source.”<\/p>\n

La divulgation intervient alors que Sonatype a d\u00e9couvert un ensemble de six packages malveillants sur le r\u00e9f\u00e9rentiel Python Package Index (PyPI) \u2013 cass\u00e9-rcl, cass\u00e9scolors, cass\u00e9scolors2, cass\u00e9scolors3, cass\u00e9srcl et trexcolors \u2013 qui ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s par un seul compte nomm\u00e9 cass\u00e9.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Ces packages ciblent le syst\u00e8me d’exploitation Windows et sont identiques en ce qui concerne leur versioning”, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 et journaliste Ax Sharma. a dit<\/a>. “Lors de l’installation, ces packages se t\u00e9l\u00e9chargent simplement et ex\u00e9cuter un cheval de Troie<\/a> h\u00e9berg\u00e9 sur les serveurs de Discord.”<\/p>\n

Sonatype a \u00e9galement d\u00e9couvert un package appel\u00e9 libiobe capable de cibler \u00e0 la fois les syst\u00e8mes d’exploitation Windows et Linux. Sur les machines ex\u00e9cutant Windows, le package fournit une voleur d’informations<\/a>alors que sous Linux, il est configur\u00e9 pour profiler le syst\u00e8me et exfiltrer ces informations vers un point de terminaison Telegram.<\/p>\n

“Il est difficile de d\u00e9terminer qui ex\u00e9cuterait finalement des packages avec de tels noms ou qui ils ciblent sp\u00e9cifiquement”, a not\u00e9 Sharma. “Bien que ces packages n’utilisent pas de nouvelles charges utiles ou tactiques, ou aient des cibles \u00e9videntes, ils t\u00e9moignent des attaques malveillantes en cours qui ciblent les registres de logiciels open source comme PyPI et npm.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n