Composants open source analysés par Nexus Intelligence :

417
123367458

Historique des attaques contre les chaînes logistiques logicielles

Juillet 2017 – Aujourd'hui

icon_crypto_mining2

AOÛT 2022

Avalanche de 241 paquets de cryptominage npm, PyPI

Les systèmes de détection de logiciels malveillants de Sonatype ont repéré 186 paquets npm qui étaient en réalité des typosquats de bibliothèques populaires. Tous ces paquets ont introduit des cryptomineurs après avoir infecté des systèmes Linux. Hauke Lübbers, un chercheur en sécurité informatique, a d'autre part mis au jour une attaque identique sur PyPI et nous a transmis une liste de 55 paquets Python problématiques.

Le paquet PyPI "secretslib" introduit un logiciel malveillant dans Linux pour miner du Monero

Le paquet Python malveillant "secretslib" introduit une charge utile de second niveau dans la mémoire pour exécuter XMRig et miner du Monero en arrière-plan.

Les typosquats de la bibliothèque "Requests" installent des ransomwares

Nous avons identifié et analysé de nombreux paquets Python malveillants qui contiennent des scripts de ransomware et qui sont des typosquats d'une bibliothèque légitime et largement connue appelée "Requests".

icon_crypto_mining

JUILLET 2022

Les paquets PyPi volent les fichiers de cache de Telegram et ajoutent des comptes au bureaux à distance Windows.

Sonatype a découvert des paquets PyPi malveillants qui configurent de nouveaux comptes utilisateur Remote Desktop sur votre ordinateur Windows et qui dérobent des fichiers de données Telegram chiffrés de votre client Telegram Desktop.

Un cryptomineur Python qui cible Windows, Linux et macOS

Nous avons identifié un composant PyPi suspect appelé « python-dateutils » qui mine la cryptomonnaie Monero (XMR) sur votre système (Windows, Linux ou macOS) et dérobe les identifiants AWS.

icon_trojan_horse

JUIN 2022

Le malware npm exfiltre des informations d'identification de Windows SAM et d'Amazon EC2

Les chercheurs en sécurité de chez Sonatype ont analysé les paquets npm « @core-pas/cyb-core » et « notreallyapackagetrustme », qui tentent d'exfiltrer des informations d'identification d'Amazon EC2 et des fichiers sensibles comme /etc/passwd sur Linux et « SAM/SYSTEM » sur Windows.

Un malware passe le Windows Defender sans être détecté et dépose un cheval de Troie

Le paquet npm « flame-vali » prétend permettre aux développeurs de contourner tous les proxys de requête. Au lieu de cela, il contient une charge utile lourdement obfusquée qui essaye à plusieurs reprises de désactiver Windows Defender avant de déposer un cheval de Troie.

Des paquets PyPI exfiltrent des clés AWS, des variables d'environnement et des secrets

Ce mois-ci, nous avons intercepté de nombreux paquets PyPI et des typosquats qui exfiltraient des clés AWS, des variables d'environnement et d'autres informations d'identification comme les secrets. Il est conseillé aux utilisateurs de ces paquets de renouveler immédiatement leurs informations d'identification.

Cheval de Troie
icon_code_bomb

MAI 2022

Le framework « phpass » de la bibliothèque PHP et le paquet « ctx » du référentiel PyPI ont été détournés pour voler des variables d'environnement

Le très populaire paquet PyPI « ctx » a été compromis dans une attaque de chaîne logistique et modifié de façon à voler des variables d'environnement à ses utilisateurs. En outre, le projet PHP « phpass » a subi une attaque par détournement de repository (« repo-hijacking »), le projet étant maintenu avec une charge utile malveillante identique pour voler les clés AWS.

Le nouveau paquet malveillant « pymafka » dépose Cobalt Strike dans macOS, Windows et Linux

Nous avons intercepté un typosquat « pymafka » qui dépose une charge utile Cobalt Strike dans toutes les plateformes ; il cible les développeurs qui utilisent PyKafka, un client Apache Kafka légitime pour Python.

« Rustdecimal », une crate malveillante, a été trouvée dans le repository Rust

« Rustdecimal », un exemple de typosquattage, a été chargé dans Crates.io, le repository de Rust. Le typosquat, qui imite la crate légitime « rust_decimal », contenait un code malveillant qui utilisait une obfuscation soigneusement élaborée de la fonction XOR (ou exclusif). L'équipe de recherche de Sonatype a analysé le malware et a ajouté le typosquat à notre catalogue de sécurité pour protéger nos clients.

Une campagne en cours cible la bibliothèque « colors »

La bibliothèque « colors » ciblée est couramment utilisée par de nombreux développeurs. Des typosquats comme colors-2.0, colors-update ou colorsss correspondent tous à des tentatives de tromper votre attention avec un clone malfaisant de « colors », truffé de chevaux de Troie programmés pour subtiliser des informations.

Un clone de projet Apache Kafka exploite la confusion des dépendances

Le paquet PyPI « karapace » intercepté et analysé par Sonatype porte exactement le même nom qu'un paquet Python sur GitHub, « une implémentation open source du proxy REST de Kafka et de Schema Registry » (de Confluent).

Technique d'exfiltration des données « bloat-free »

Dans le cas d'un des paquets npm suspects que Sonatype a interceptés, nous avons constaté qu'il ne faisait rien de plus que télécharger un autre paquet npm vide sur un serveur externe, un comportement difficile à comprendre. Il s'avère que ce test PoC effectué par un chercheur n'est rien d'autre qu'une diversion pour obtenir de manière furtive votre adresse IP et votre nom d'utilisateur.

icon_broken_shield

AVRIL 2022

Tentative de confusion de dépendance VMware VSphere détectée par Sonatype

Les bots automatisés de détection des malwares de Sonatype ont signalé une dépendance suspecte portant le même nom qu'un vrai paquet utilisé par les développeurs du VMware VSphere SDK. PyPI a retiré le paquet à la suite de notre signalement et VMWare a confirmé dans une déclaration qu'il n'y avait eu aucun impact sur ses utilisateurs et ses produits.

Plus de 500 paquets NPM malveillants détectés par Sonatype

D'un paquet NPM « fix-crash » qui vole vos informations Discord à 400 autres paquets malveillants, détectés en plus de ceux de mars, qui ciblent les développeurs Azure.

PyPI retire le paquet malveillant « Distutil » qui imite « distutils »

Le nom « Distutil » peut vous être familier étant donné que « distutils » est une bibliothèque Python désormais obsolète ayant permis de créer et d'installer des modules supplémentaires dans une installation Python. « Distutil » contient un code impénétrable et semble se rapprocher d'une tentative de typosquattage.

Hausse des « protestware » lors de la crise entre la Russie et l'Ukraine

Les « protestware » correspondant aux cas dans lesquels les responsables de projets open source populaires sabotent leur propre logiciel pour faire valoir un argument continuent de multiplier. Les jours qui ont suivi le sabotage « node-ipc », les responsables des bibliothèques NPM telles que « event-source-polyfill », « es5-ext » et « styled-components » ont commencé à ajouter des messages pacifistes contre la guerre à leurs paquets.

Protestware
icon_hacker

Mars 2022

Soyez sur vos gardes : les attaques open source poursuivent leur accélération

Nous avons identifié 130 paquets de typosquattage sur npm et une douzaine de paquets malveillants sur le repository PyPI, à un moment où le monde est axé sur la crise entre la Russie et l'Ukraine et où les gouvernements exhortent les organisations à intensifier leurs efforts de cybersécurité en réponse aux cyberincidents malveillants associés.

Les nouveaux paquets « colors-2.0 » et « colors-3.0 » sont malveillants

Pour un simple observateur, les paquets « colors-2.0 », « colors-3.0 », et quelques autres peuvent sembler être de « nouvelles » versions de la bibliothèque de « couleurs » mais c'est loin d'être le cas. Ces paquets sont malveillants et habilement nommés de manière à tromper un développeur débutant qui pourrait les prendre pour les dernières versions des « couleurs » officielles.

Un mystérieux « coquillage inversé » retrouvé dissimulé dans les paquets PyPI

Ne vous laissez pas tromper par ces paquets Python que Sonatype a découverts cette semaine sur le registre PyPI. D'un mystérieux coquillage inversé à un typosquat AIOHTTP qui fait son retour pour la troisième fois !

86 paquets npm malveillants nommés d'après des fonctions NodeJS populaires

Les bots automatisés de détection des malwares de Sonatype ont repéré 86 paquets npm nommés d'après des fonctions NodeJS et JavaScript populaires.

Ce développement fait suite à la découverte la semaine dernière de plus de 400 paquets npm malveillants ciblant les développeurs d'Azure, Uber et Airbnb, tous repérés par notre système de détection des logiciels malveillants, proposé dans le cadre de Nexus Firewall.

icon_crypto_mining

Février 2022

Les paquets PyPi malveillants volent vos cookies de sécurité Roblox et vos jetons Discord

Les systèmes de détection automatique des malwares ont une fois de plus identifié des paquets PyPi malveillants qui volent vos cookies de sécurité Roblox ainsi que vos jetons Discord et installent des fichiers .exe sur votre système.

PyPI, NuGet et npm inondés par des spams Roblox et Fortnite

Sonatype repère les pirates qui polluent les repositories open source avec de faux paquets contenant des liens de spam. Nous nous sommes intéressés de plus près à une série de campagnes massives de spam malveillantes et revenons sur la raison pour laquelle les pirates ciblent de plus en plus les développeurs et les plateformes de jeux pour héberger leurs malwares.

Le paquet PyPI trojanisé imite une bibliothèque de serveur Python populaire

Sonatype est une fois de plus tombé sur un paquet Python malveillant, imitant cette fois-ci une bibliothèque middleware extrêmement populaire. Mais ce paquet dépose un cheval de Troie d'accès à distance (RAT) qui compromet l'ensemble de votre système.

Le typosquat jQuery npm a une surprise louche

Le projet populaire jQuery a un mystérieux acolyte qui a fait son apparition: « jquery-lh ». Pendant que le paquet npm installe du code jQuery réel, il fait quelque chose de louche et d'inattendu en arrière-plan.

bad-package-4
icon_keyboard

JANVIER 2022

Les bibliothèques npm ultra populaires « Colors » et « Faker » sabotées

Des milliers de projets open source, y compris ceux produits par des entreprises telles que Facebook (Meta) et Amazon, sont tombés en panne après que le développeur à l'origine de « colors » et « faker » a intentionnellement saboté ses propres paquets pour protester contre l'exploitation de l'open source par des entreprises du Fortune 500.

PyPI inondé de plus de 1 200 paquets de confusion de dépendance

Le 23 janvier, les systèmes de détection automatique des malwares de Sonatype ont remarqué qu'un utilisateur a inondé le dépôt PyPI de 1 275 paquets de confusion de dépendance.

icon_code_bomb

Décembre 2021

Une application de cryptomonnaie se voit réclamer une rançon de 5 M $ suite à la faille Log4j

L'une des plus importantes applications de cryptomonnaie vietnamiennes, ONUS, a subi une cyberattaque due à une vulnérabilité de Log4j. Les pirates ont d'abord demandé à ONUS une rançon de 5 millions de dollars, avant de mettre en vente sur Internet les 2 millions de dossiers client après que la société a refusé de payer.

La faille zero-day de Log4j enflamme Internet avec les attaques « Log4Shell »

Une vulnérabilité zero-day critique dans Log4j, le framework de journalisation très populaire, est divulguée en parallèle d'un PoC public. Peu après, des pirates commencent à exploiter massivement la vulnérabilité afin d'introduire des logiciels malveillants sur des serveurs vulnérables. La CISA partage rapidement des conseils et crée une page web dédiée pour inciter les entreprises à remédier aux attaques Log4Shell.

Des paquets PyPI malveillants téléchargés 10 000 fois sont retirés

Ces paquets déposent des chevaux de Troie sur les appareils Windows et tentent d'infiltrer les instances Apache Mesos sur les systèmes Linux.

Log-4-j
icon_trojan_horse

Novembre 2021

La bibliothèque « coa », que tout le monde connaît, est piratée suivant un mode opératoire identique à celui constaté pour « ua-parser-js »

Des versions malveillantes de « coa » ont cassé des pipelines React dans le monde entier jusqu'à ce qu'elles soient supprimées. Ces versions contenaient un cheval de Troie qui subtilisait des informations d'identification, similaire à celui vu dans les versions piratées de « ua-parser-js ».

Quelques heures après la découverte du piratage de « coa », « rc » est également piraté.

Un autre paquet npm populaire, « rc », avec 14 millions de téléchargements hebdomadaires, est piraté pour diffuser des logiciels malveillants, quelques heures seulement après le piratage de « coa ». Le logiciel malveillant et le style d'attaque sont identiques, ce qui permet d'établir un lien entre les deux incidents. NPM attribue la cause des deux attaques à la compromission du compte du responsable du projet.

icon_crypto_mining

Octobre 2021

Un nouveau malware npm mine des cryptomonnaies sur de nombreux appareils

Entre le 12 et le 15 octobre, ont été découverts de nouveaux logiciels malveillants npm de cryptominage qui imitaient le paquet légitime « ua-parser-js » et ciblaient des appareils sous Linux, macOS et Windows.

La bibliothèque bien connue « ua-parser-js » a été attaquée

Le 22 octobre, « ua-parser-js » une bibliothèque bien connue avec plus de 7 millions de téléchargements hebdomadaires, a été piratée. Les mêmes cryptomineurs ont été découverts.

Un faux paquet npm Roblox API installe un ransomware et a une surprise effrayante

Entre le 20 et le 26 octobre, Sonatype a découvert des paquets de typosquattage qui imitaient noblox.js, un wrapper d'API de jeu Roblox. Le logiciel malveillant Obfuscated trouvé dans un paquet npm inclut des fonctionnalités supplémentaires indésirables, notamment des chevaux de Troie, des ransomwares et même une surprise effrayante.

Cryptominage
icon_skimming

Septembre 2021

Le vol de cryptomonnaies provenait d'un commit GitHub malveillant

La plateforme de cryptomonnaies MISO de SushiSwap a subi un vol de 3 millions de dollars résultant d'une attaque de la chaîne logistique logicielle. Un seul commit malveillant dans le dépôt GitHub privé de Sushi a suffi pour modifier le portail de vente aux enchères de l'entreprise et remplacer l'adresse du portefeuille authentique par celle de l'attaquant.

icon_broken_shield

JUILLET 2021

Kaseya

Un groupe de ransomware a découvert et exploité une vulnérabilité zero day dans une plateforme de surveillance et de gestion à distance utilisée par des dizaines de fournisseurs de services de sécurité gérés. Étant donné que ces derniers ont des milliers de clients en aval, les pirates ont pu lancer une attaque de ransomware qui a fait 1 500 victimes.

icon_code_bomb

MAI 2021

L'outil winget de Microsoft est inondé d'applications en double et malformées

Le week-end suivant son lancement, le registre de logiciels de winget a été inondé de pull requests pour des applications qui étaient soit en double, soit malformées. Des paquets en double récemment ajoutés étaient corrompus et ont écrasé les paquets existants, ce qui soulève de grandes inquiétudes concernant l'intégrité de l'écosystème winget.

icon_hacker

AVRIL 2021

Codecov

Un pirate a réussi à obtenir un identifiant grâce à une erreur dans la façon dont Codecov créait des images Docker. Cet identifiant a permis de modifier le script bash de téléchargement de Codecov, qui a été utilisé soit directement par ses clients, soit via les autres téléchargeurs de Codecov, comme leur Action GitHub. Le pirate a utilisé ce script modifié pour voler des identifiants dans les environnements CI de clients qui l'utilisent.

Code_Thief-1
icon_keyboard

FÉVRIER 2021

Namespace Confusion

Trois jours après l'annonce du piratage de 35 grandes entreprises technologiques par un chercheur éthique dans le cadre d'une attaque inédite contre les chaînes logistiques, plus de 300 attaques malveillantes d'imitateurs ont été observées. En un mois, plus de 10 000 imitateurs de confusion de dépendances ont infiltré plusieurs écosystèmes, dont npm.

icon_trojan_horse

DÉCEMBRE 2020

SolarWinds

Des pirates ont eu accès à l'infrastructure de développement de SolarWinds et ont injecté du code malveillant dans les binaires de mise à jour d'Orion. 18 000 clients ont automatiquement téléchargé des mises à jour contaminées, ce qui a eu pour effet d'installer des portes dérobées dans leur système et de permettre aux pirates d'exploiter des réseaux privés à leur guise.

Novembre 2020

Identification du malware « CursedGrabber »

La découverte du malware, appelé xpc.js dans le registre npm a confirmé son appartenance à la famille de malwares Discord récemment identifiée et appelée CursedGrabber. Ce malware cible les hôtes Window et dérobe des informations de Discord en envoyant les informations de l'utilisateur au pirate via un webhook.

Des composants contrefaits sont découverts dans l'écosystème npm

Les composants suivants ont été identifiés comme les successeurs du malware « fallguys » : discord.dll, discord.app, wsbd.js, and ac-addonIls exfiltrent les fichiers « leveldb » de Discord et du navigateur Web et recueillent des données, telles que l'adresse IP, le « nom d'utilisateur du PC », les fichiers « discordcanary », etc.

Détection d'un nouveau malware npm contenant le cheval de Troie Bladabindi

Les paquets typosquattés malveillants jdb.js and db-json.js contiennent un cheval de Troie d'accès à distance, un njRAT, aussi appelé Bladabindi. Au moment de l'installation, le script malveillant commence la collecte et la reconnaissance de données avant de lancer patch.exe, un njRAT écrit en .NET. Cela permet à un pirate opérant à distance de consigner ce qui est écrit au clavier, de modifier des valeurs de registre et d'éteindre ou de redémarrer le système librement, entre autres activités néfastes.

Hacker_Concept-2
icon_code_bomb

Octobre 2020

Identification d'un malware par brandjacking dans npm

Le paquet contrefait twilio-npm ouvre une porte dérobée sur l'appareil d'un utilisateur, ce qui permet aux pirates de le contrôler et d'exécuter du code à distance.

icon_keyboard

Août 2020

De nombreux paquets npm sont vulnérables aux attaques par typosquatting

The electorn, loadyaml, lodashs, and loadyml ont tous été identifiés comme étant vulnérables. Une fois installés, ils recueillent et publient des informations sensibles, notamment l'adresse IP, la géolocalisation et l'empreinte de l'appareil, sur une page GitHub publique.

icon_code_bomb

Mai 2020

Octopus Scanner

26 paquets open source se sont avérés compromis par injection de code malveillant. Le malware avait pour mission de recenser et d'infiltrer les projets NetBeans au moyen de portes dérobées via l'IDE NetBeans.

Octopus_Scanner-3
icon_broken_gem

Avril 2020

Des centaines de Gems malveillants découverts sur RubyGems

400 paquets ont été retirés du repository public pour cause de malwares de typosquatting et de minage de cryptomonnaie. Ils comprenaient notamment atlas-client (téléchargé 2 100 fois par les développeurs).

icon_code_bomb

Janvier 2020

Microsoft identifie un paquet JavaScript malveillant

Le paquet npm malveillant 1337qq-js cible les systèmes UNIX en exfiltrant des informations sensibles telles que des mots de passe codés en dur ou des jetons d'accès API par le biais de scripts d'installation.

icon_trojan_horse

Décembre 2019

Suppression de bibliothèques Python contaminées

Deux bibliothèques Python python3-dateutil and jeIlyfish, ont été surprises en train de voler les clés SSH et GPG de projets ou développeurs infectés.

Novembre 2019

Des ordinateurs exécutant un paquet npm malveillant considérés comme « entièrement compromis »

Toutes les versions de sj-tw-test-security contenaient du code malveillant. Le paquet téléchargeait et exécutait ainsi un script pour ouvrir un reverse shell sur le système touché et permettre à un pirate distant de le compromettre.

La vulnérabilité à la pollution de prototype continue de poser problème

Profitant d'un exploit de typosquatting relatif aux lodash npm packages, all versions of the lodahs contenaient un malware visant à trouver et à exfiltrer des portefeuilles de cryptomonnaie. Les paquets web3b and web3-eht ont été supprimés pour le même type d'exploit.

dominos
icon_broken_gem

Octobre 2019

Des paquets Gem retirés du repository

Trois versions du paquet Gems, basic_authable, publiées en 2017, ont été retirées du repository Gems en raison de leur nature malveillante.

icon_crypto_mining

Août 2019

Une version compromise d'un gestionnaire du paquet rest-client dérobe des identifiants et installe des mineurs de cryptomonnaie

Une version compromise de rest-client, un client HTTP et REST pour Ruby populaire, a été importée sur RubyGems. Les versions affectées (1.6.10 à 1.6.13) ont été téléchargées environ 1 000 fois. Des vulnérabilités similaires ont également été découvertes dans les paquets Gem coming-soon and cron_parser.

Un paquet malveillant supprimé du repository npm

Le composant bb-builder volait des informations de connexion des ordinateurs sur lesquels il était installé et les envoyait à un serveur distant.

icon_code_bomb

Juillet 2019

Des bibliothèques Python malveillantes supprimées de PyPI

Une entreprise de sécurité a identifié trois bibliothèques Python malveillantes libpeshnx, libpesh, and libari importées dans Python Package Index (PyPI). Celles-ci contenaient une porte dérobée activée lors de leur installation sur les systèmes Linux.

Détection d'un composant RubyGems contenant du code malveillant

Cette attaque impliquait notamment l'exécution de code à distance dans les applications utilisant le composant strong_password . Le pirate compromettait le composant ainsi que ses dépendances et bloquait le gestionnaire.

skull-chip
icon_hacker

Juin 2019

Attaque de crytomonnaie par injection de code malveillant sur npm

Un paquet npm contenait du code conçu pour voler les mots de passe et autres informations de connexion spécifiques aux portefeuilles et applications de cryptomonnaie. Avertis par les chercheurs de npm, les créateurs des portefeuilles Agama ont transféré l'équivalent de 13 millions de dollars avant que les pirates ne puissent s'en emparer.

23 paquets RubyGems malveillants identifiés

Des paquets ont été retirés du repository public car ils contenaient du code servant au minage de crypto-monnaie ou au vol de cookies/mots de passe.

crypto_coins_bugs
icon_broken_gem

Mars 2019

Contenant une porte dérobée, ce paquet RubyGems permet d'exécuter du code à distance

Une version malveillante du célèbre paquet bootstrap-sass , téléchargée au total 28 millions de fois à ce jour, et comptant 1 600 dépendances, est publiée dans le repository RubyGems. 

icon_injection

Novembre 2018

Paquet malveillant injecté dans un paquet npm populaire

Le code injecté dans le paquet event-stream cible l'application Copay et a été conçu pour récupérer les détails de compte et les clés privées des comptes ayant un solde supérieur à 100 Bitcoins ou 1 000 Bitcoins Cash.

Juillet 2018

Un paquet JavaScript compromis surpris en train de voler des identifiants npm

Un hacker accède au compte npm d'un développeur et injecte du code malveillant dans la bibliothèque JavaScript populaire intitulée eslint-scope, , un sous-module du plus célèbre ESLint, , un outil d'analyse de code JavaScript.

Le repository Homebrew compromis

Un jeton API GitHub issu de l'outil Jenkins de Homebrew a permis à un chercheur en sécurité d'accéder à des repositories logiciels centraux de Homebrew.

« Si j'étais un pirate, j'aurais pu apporter une toute petite modification aux formules openssl, qui serait très certainement passée inaperçue et m'aurait permis de placer une porte dérobée sur n'importe quel appareil ayant procédé à une installation », a expliqué le chercheur Eric Holmes.

password_theft
icon_code_bomb

Juin 2018

Une distribution Linux piratée sur GitHub

Des inconnus prennent le contrôle de l'organisation Github Gentoo et modifient le contenu des repositories ainsi que des pages qu'ils contiennent. L'ensemble du code est considéré comme compromis.

icon_back_door

Mai 2018

Découverte du paquet npm avec porte dérobée

L'équipe de sécurité npm signale l'existence d'un paquet getcookies contenant du code malveillant. Ce dernier permettait à des utilisateurs d'exécuter à distance du code arbitraire sur les serveurs. L'enquête révèle également qu'un paquet existant appelé mailparser répertoriait depuis peu http-fetch-cookies comme l'une de ses dépendances. Bien qu'obsolète, mailparser continue d'être téléchargé près de 64 000 fois par semaine.

Découverte d'un paquet PyPI avec porte dérobée

Le module Python ssh-decorator comportait une porte dérobée pour voler les identifiants SSH des utilisateurs, puis retransmettre ces données à un serveur distant.

Code_Door-Thief
icon_hacker

Février 2018

Un compte GitHub préalablement supprimé est ressuscité par un utilisateur inconnu

Après qu'un développeur a supprimé leur go-bindata compte GitHub, un utilisateur a immédiatement récupéré l'identifiant, héritant ainsi de son patrimoine, et remettant en question les paquets et les sources qui y étaient associés.

Identifiants npm délibérément compromis

Publication d'une version malveillante d'un paquet provenant d'un contributeur central de l'écosystème conventional-changelog . Le paquet a été installé 28 000 fois en 35 heures et a exécuté un mineur de Monero (cryptomonnaie).

icon_skimming

Janvier 2018

« Je récupère les numéros de cartes de crédit et les mots de passe sur votre site. Voici comment faire. »

Sur son blog, David Gilbertson écrit un conte fictif sur la création d'un paquet npm malveillant.

icon_keyboard

Septembre 2017

PyPI Typosquat

découverte de 10 paquets Python malveillants dont les noms avaient été intentionnellement mal orthographiés afin de tromper les utilisateurs. Des preuves de la présence de faux paquets dans le logiciel ont été relevées à plusieurs reprises entre juin et septembre 2017.

Juillet 2017

npm touché par une attaque de typosquatting

39 paquets collectés sur deux semaines, avec récupération des identifiants utilisés pour publier dans le repository npm lui-même.

Identifiants npm publiés en ligne

Concerne l'accès à 14 % des repositories npm (79 000 paquets). Suite à cet événement, npm a réinitialisé les mots de passe et jetons d'authentification de plus de 1 000 développeurs.

17 images avec une porte dérobée créées sur Docker Hub

Username docker123321 télécharge plusieurs images de conteneur comportant une porte dérobée dans le but d'installer des reverse shells et des mineurs de cryptomonnaie sur les serveurs des utilisateurs. Les images ne sont supprimées qu'en juin 2018. Quelques temps après, ce même nom d'utilisateur est accusé d'avoir contaminé un leurre Kubernetes (janvier 2018) et assimilé à un réseau de bots de minage de cryptomonnaie (mai 2018).

Password_Thief

Additional Resources

icon_circle_whitepapers@2x

Rapport sur l'état de la chaîne
logistique logicielle en 2021

Le rapport de Sonatype associe un large éventail de données publiques et privées afin de présenter des conclusions importantes sur l'open source et son rôle croissant dans l'innovation numérique.

demandbase_icon_circle_Intel@2x

Qu'est-ce que Nexus Intelligence ?

Découvrez comment une intelligence artificielle et un apprentissage automatique constamment optimisés, associés à 65 professionnels de premier rang avec plus de 500 ans d'expérience, sont parvenus à rassembler les données les plus qualitatives du secteur. 

Scanner Icon

Vos applications sont-elles sûres ?

Êtes-vous exposé au risque de piratage d'une chaîne logistique logicielle ? Essayez gratuitement le scanner de vulnérabilités de Nexus et voyez si vos logiciels présentent des vulnérabilités open source.

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.