{"id":816347,"date":"2023-07-05T15:02:37","date_gmt":"2023-07-05T17:02:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/attention-aux-utilisateurs-de-node-js-lattaque-manifest-confusion-ouvre-la-porte-aux-logiciels-malveillants\/"},"modified":"2023-07-05T15:02:40","modified_gmt":"2023-07-05T17:02:40","slug":"attention-aux-utilisateurs-de-node-js-lattaque-manifest-confusion-ouvre-la-porte-aux-logiciels-malveillants","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/attention-aux-utilisateurs-de-node-js-lattaque-manifest-confusion-ouvre-la-porte-aux-logiciels-malveillants\/","title":{"rendered":"Attention aux utilisateurs de Node.js\u00a0: l&#8217;attaque Manifest Confusion ouvre la porte aux logiciels malveillants"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Cha\u00eene d&#8217;approvisionnement \/ S\u00e9curit\u00e9 des logiciels<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Le registre npm pour l&#8217;environnement d&#8217;ex\u00e9cution JavaScript Node.js est sensible \u00e0 ce qu&#8217;on appelle un <strong>confusion manifeste<\/strong> attaque qui pourrait potentiellement permettre aux acteurs de la menace de dissimuler des logiciels malveillants dans les d\u00e9pendances du projet ou d&#8217;ex\u00e9cuter des scripts arbitraires lors de l&#8217;installation.<\/p>\n<p>&#8220;Le manifeste d&#8217;un package npm est publi\u00e9 ind\u00e9pendamment de son archive tar&#8221;, Darcy Clarke, ancien responsable de l&#8217;ing\u00e9nierie GitHub et npm, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.vlt.sh\/blog\/the-massive-hole-in-the-npm-ecosystem\" target=\"_blank\">a dit<\/a> dans un article technique publi\u00e9 la semaine derni\u00e8re.  &#8220;Les manifestes ne sont jamais enti\u00e8rement valid\u00e9s par rapport au contenu de l&#8217;archive.&#8221;<\/p>\n<p>&#8220;L&#8217;\u00e9cosyst\u00e8me a largement suppos\u00e9 que le contenu du manifeste et de l&#8217;archive tar \u00e9tait coh\u00e9rent&#8221;, a ajout\u00e9 Clarke.<\/p>\n<p>Le probl\u00e8me, \u00e0 la base, provient du fait que les m\u00e9tadonn\u00e9es du manifeste et du package sont d\u00e9coupl\u00e9es et qu&#8217;elles ne sont jamais r\u00e9f\u00e9renc\u00e9es les unes par rapport aux autres, ce qui entra\u00eene un comportement inattendu et une mauvaise utilisation en cas de non-concordance.<\/p>\n<p>En cons\u00e9quence, un acteur malveillant pourrait exploiter cette faille pour publier un module avec un fichier manifeste (package.json) contenant des d\u00e9pendances cach\u00e9es ainsi que pour ex\u00e9cuter des scripts d&#8217;installation, ce qui pourrait alors ouvrir la voie \u00e0 une attaque de la cha\u00eene d&#8217;approvisionnement et \u00e0 l&#8217;empoisonnement de l&#8217;environnement d&#8217;un d\u00e9veloppeur.<\/p>\n<p>&#8220;La confusion manifeste devient probl\u00e9matique dans les environnements de d\u00e9veloppement sans workflows et outils DevSecOps efficaces en place, en particulier lorsque les applications font aveugl\u00e9ment confiance aux manifestes d&#8217;application plut\u00f4t qu&#8217;aux fichiers r\u00e9els (vuln\u00e9rables ou malveillants) contenus dans les packages open source&#8221;, a d\u00e9clar\u00e9 Ax Sharma, chercheur et journaliste \u00e0 Sonatype. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonatype.com\/npm-manifest-confusion-what-is-it-and-do-you-really-need-to-worry-about-it\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>La d\u00e9couverte souligne le fait que les m\u00e9tadonn\u00e9es contenues dans les fichiers manifestes de package seuls ne peuvent pas \u00eatre invoqu\u00e9es lors du t\u00e9l\u00e9chargement d&#8217;un package \u00e0 partir du r\u00e9f\u00e9rentiel open source, ce qui oblige les utilisateurs \u00e0 prendre des mesures pour <a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/Source_Code_Analysis_Tools\" target=\"_blank\">analyser les packages<\/a> pour toutes les fonctionnalit\u00e9s et exploits anormaux.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1688576557_800_Attention-aux-utilisateurs-de-Nodejs-lattaque-Manifest-Confusion-ouvre-la.png\" alt=\"Attaque de confusion manifeste\" border=\"0\" data-original-height=\"409\" data-original-width=\"728\" title=\"Attaque de confusion manifeste\"\/><\/div>\n<p>GitHub, selon Clarke, serait au courant du probl\u00e8me depuis au moins d\u00e9but novembre 2022, la filiale de Microsoft d\u00e9clarant qu&#8217;elle pr\u00e9voyait de le r\u00e9soudre en interne \u00e0 partir de mars 2023. Le probl\u00e8me, cependant, reste non r\u00e9solu \u00e0 ce jour.<\/p>\n<p>En l&#8217;absence de correctif officiel, le chercheur en s\u00e9curit\u00e9 Felix Pankratz a mis \u00e0 disposition un <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/panki27\/npm-manifest-check\" target=\"_blank\">Script Python<\/a> qui peut \u00eatre utilis\u00e9 pour tester les incompatibilit\u00e9s entre les manifestes dans les modules npm.<\/p>\n<p>Le d\u00e9veloppement intervient \u00e9galement alors que la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 des d\u00e9veloppeurs Snyk, en partenariat avec Redhunt Labs, a examin\u00e9 11 900 r\u00e9f\u00e9rentiels du <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/redhuntlabs\/Project-Resonance\/blob\/master\/Wave%203%20-%20Dependency%20Confusion\/orgs.txt\" target=\"_blank\">1 000 principales organisations GitHub<\/a> pour les d\u00e9pendances non s\u00e9curis\u00e9es, d\u00e9couverte de 1\u00a0229\u00a0601 failles dans 15\u00a0584 fichiers de d\u00e9pendances vuln\u00e9rables.<\/p>\n<p>&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/502.html\" target=\"_blank\">D\u00e9s\u00e9rialisation des donn\u00e9es non fiables<\/a> \u00e9tait le type de vuln\u00e9rabilit\u00e9 le plus r\u00e9pandu avec 130 831 occurrences dans les r\u00e9f\u00e9rentiels Java, ce qui en fait 40 % du total des vuln\u00e9rabilit\u00e9s identifi\u00e9es \u00bb, selon l&#8217;\u00e9tude <a rel=\"nofollow noopener\" href=\"https:\/\/snyk.io\/blog\/snyk-redhunt-labs-scanning-top-1000-orgs-on-github\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Dans les projets bas\u00e9s sur JavaScript, <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/1321.html\" target=\"_blank\">pollution prototype<\/a> est apparu comme la principale lacune avec 343 332 occurrences.  D\u00e9ni de service (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T0814\/\" target=\"_blank\">DoS<\/a>) ont contribu\u00e9 le plus aux projets Python et Ruby avec respectivement 19\u00a0652 et 56\u00a0331 occurrences.<\/p>\n<p>&#8220;La menace de d\u00e9pendances vuln\u00e9rables perturbant l&#8217;\u00e9tat de s\u00e9curit\u00e9 des cha\u00eenes d&#8217;approvisionnement logicielles est l\u00e0 pour rester&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Umair Nehri et Vandana Verma Sehgal.  &#8220;Ainsi, les d\u00e9veloppeurs doivent \u00eatre prudents avec les d\u00e9pendances qu&#8217;ils utilisent dans leurs projets et les tenir \u00e0 jour pour les prot\u00e9ger de toute vuln\u00e9rabilit\u00e9 connue.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/nodejs-users-beware-manifest-confusion.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 juil. 2023\ue804Ravie LakshmananCha\u00eene d&#8217;approvisionnement \/ S\u00e9curit\u00e9 des logiciels Le registre npm pour l&#8217;environnement d&#8217;ex\u00e9cution JavaScript Node.js est sensible \u00e0 ce qu&#8217;on appelle un confusion manifeste attaque qui pourrait potentiellement permettre aux acteurs de la menace de dissimuler des logiciels malveillants dans les d\u00e9pendances du projet ou d&#8217;ex\u00e9cuter des scripts arbitraires lors de l&#8217;installation. &#8220;Le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":816348,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2256,507,4168,16464,4158,4165,4161,4157,4159,4171,4170,1505,4167,4589,4590,172367,4160,163365,4163,4162,1031,2742,4172,4169,7529,4166,4164],"class_list":["post-816347","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attention","tag-aux","tag-comment-pirater","tag-confusion","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lattaque","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-manifest","tag-mises-a-jour-de-la-cybersecurite","tag-node-js","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ouvre","tag-porte","tag-securite-informatique","tag-securite-internet","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/816347","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=816347"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/816347\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/816348"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=816347"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=816347"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=816347"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}