Les systèmes de détection de logiciels malveillants de Sonatype ont repéré 186 paquets npm qui étaient en réalité des typosquats de bibliothèques populaires. Tous ces paquets ont introduit des cryptomineurs après avoir infecté des systèmes Linux. Hauke Lübbers, un chercheur en sécurité informatique, a d'autre part mis au jour une attaque identique sur PyPI et nous a transmis une liste de 55 paquets Python problématiques.
Le paquet Python malveillant "secretslib" introduit une charge utile de second niveau dans la mémoire pour exécuter XMRig et miner du Monero en arrière-plan.
Nous avons identifié et analysé de nombreux paquets Python malveillants qui contiennent des scripts de ransomware et qui sont des typosquats d'une bibliothèque légitime et largement connue appelée "Requests".
Sonatype a découvert des paquets PyPi malveillants qui configurent de nouveaux comptes utilisateur Remote Desktop sur votre ordinateur Windows et qui dérobent des fichiers de données Telegram chiffrés de votre client Telegram Desktop.
Nous avons identifié un composant PyPi suspect appelé « python-dateutils » qui mine la cryptomonnaie Monero (XMR) sur votre système (Windows, Linux ou macOS) et dérobe les identifiants AWS.
Les chercheurs en sécurité de chez Sonatype ont analysé les paquets npm « @core-pas/cyb-core » et « notreallyapackagetrustme », qui tentent d'exfiltrer des informations d'identification d'Amazon EC2 et des fichiers sensibles comme /etc/passwd sur Linux et « SAM/SYSTEM » sur Windows.
Le paquet npm « flame-vali » prétend permettre aux développeurs de contourner tous les proxys de requête. Au lieu de cela, il contient une charge utile lourdement obfusquée qui essaye à plusieurs reprises de désactiver Windows Defender avant de déposer un cheval de Troie.
Ce mois-ci, nous avons intercepté de nombreux paquets PyPI et des typosquats qui exfiltraient des clés AWS, des variables d'environnement et d'autres informations d'identification comme les secrets. Il est conseillé aux utilisateurs de ces paquets de renouveler immédiatement leurs informations d'identification.
Le très populaire paquet PyPI « ctx » a été compromis dans une attaque de chaîne logistique et modifié de façon à voler des variables d'environnement à ses utilisateurs. En outre, le projet PHP « phpass » a subi une attaque par détournement de repository (« repo-hijacking »), le projet étant maintenu avec une charge utile malveillante identique pour voler les clés AWS.
Nous avons intercepté un typosquat « pymafka » qui dépose une charge utile Cobalt Strike dans toutes les plateformes ; il cible les développeurs qui utilisent PyKafka, un client Apache Kafka légitime pour Python.
« Rustdecimal », un exemple de typosquattage, a été chargé dans Crates.io, le repository de Rust. Le typosquat, qui imite la crate légitime « rust_decimal », contenait un code malveillant qui utilisait une obfuscation soigneusement élaborée de la fonction XOR (ou exclusif). L'équipe de recherche de Sonatype a analysé le malware et a ajouté le typosquat à notre catalogue de sécurité pour protéger nos clients.
La bibliothèque « colors » ciblée est couramment utilisée par de nombreux développeurs. Des typosquats comme colors-2.0, colors-update ou colorsss correspondent tous à des tentatives de tromper votre attention avec un clone malfaisant de « colors », truffé de chevaux de Troie programmés pour subtiliser des informations.
Le paquet PyPI « karapace » intercepté et analysé par Sonatype porte exactement le même nom qu'un paquet Python sur GitHub, « une implémentation open source du proxy REST de Kafka et de Schema Registry » (de Confluent).
Dans le cas d'un des paquets npm suspects que Sonatype a interceptés, nous avons constaté qu'il ne faisait rien de plus que télécharger un autre paquet npm vide sur un serveur externe, un comportement difficile à comprendre. Il s'avère que ce test PoC effectué par un chercheur n'est rien d'autre qu'une diversion pour obtenir de manière furtive votre adresse IP et votre nom d'utilisateur.
Les bots automatisés de détection des malwares de Sonatype ont signalé une dépendance suspecte portant le même nom qu'un vrai paquet utilisé par les développeurs du VMware VSphere SDK. PyPI a retiré le paquet à la suite de notre signalement et VMWare a confirmé dans une déclaration qu'il n'y avait eu aucun impact sur ses utilisateurs et ses produits.
D'un paquet NPM « fix-crash » qui vole vos informations Discord à 400 autres paquets malveillants, détectés en plus de ceux de mars, qui ciblent les développeurs Azure.
Le nom « Distutil » peut vous être familier étant donné que « distutils » est une bibliothèque Python désormais obsolète ayant permis de créer et d'installer des modules supplémentaires dans une installation Python. « Distutil » contient un code impénétrable et semble se rapprocher d'une tentative de typosquattage.
Les « protestware » correspondant aux cas dans lesquels les responsables de projets open source populaires sabotent leur propre logiciel pour faire valoir un argument continuent de multiplier. Les jours qui ont suivi le sabotage « node-ipc », les responsables des bibliothèques NPM telles que « event-source-polyfill », « es5-ext » et « styled-components » ont commencé à ajouter des messages pacifistes contre la guerre à leurs paquets.
Nous avons identifié 130 paquets de typosquattage sur npm et une douzaine de paquets malveillants sur le repository PyPI, à un moment où le monde est axé sur la crise entre la Russie et l'Ukraine et où les gouvernements exhortent les organisations à intensifier leurs efforts de cybersécurité en réponse aux cyberincidents malveillants associés.
Pour un simple observateur, les paquets « colors-2.0 », « colors-3.0 », et quelques autres peuvent sembler être de « nouvelles » versions de la bibliothèque de « couleurs » mais c'est loin d'être le cas. Ces paquets sont malveillants et habilement nommés de manière à tromper un développeur débutant qui pourrait les prendre pour les dernières versions des « couleurs » officielles.
Ne vous laissez pas tromper par ces paquets Python que Sonatype a découverts cette semaine sur le registre PyPI. D'un mystérieux coquillage inversé à un typosquat AIOHTTP qui fait son retour pour la troisième fois !
Les bots automatisés de détection des malwares de Sonatype ont repéré 86 paquets npm nommés d'après des fonctions NodeJS et JavaScript populaires.
Ce développement fait suite à la découverte la semaine dernière de plus de 400 paquets npm malveillants ciblant les développeurs d'Azure, Uber et Airbnb, tous repérés par notre système de détection des logiciels malveillants, proposé dans le cadre de Nexus Firewall.
Les systèmes de détection automatique des malwares ont une fois de plus identifié des paquets PyPi malveillants qui volent vos cookies de sécurité Roblox ainsi que vos jetons Discord et installent des fichiers .exe sur votre système.
Sonatype repère les pirates qui polluent les repositories open source avec de faux paquets contenant des liens de spam. Nous nous sommes intéressés de plus près à une série de campagnes massives de spam malveillantes et revenons sur la raison pour laquelle les pirates ciblent de plus en plus les développeurs et les plateformes de jeux pour héberger leurs malwares.
Sonatype est une fois de plus tombé sur un paquet Python malveillant, imitant cette fois-ci une bibliothèque middleware extrêmement populaire. Mais ce paquet dépose un cheval de Troie d'accès à distance (RAT) qui compromet l'ensemble de votre système.
Le projet populaire jQuery a un mystérieux acolyte qui a fait son apparition: « jquery-lh ». Pendant que le paquet npm installe du code jQuery réel, il fait quelque chose de louche et d'inattendu en arrière-plan.
Des milliers de projets open source, y compris ceux produits par des entreprises telles que Facebook (Meta) et Amazon, sont tombés en panne après que le développeur à l'origine de « colors » et « faker » a intentionnellement saboté ses propres paquets pour protester contre l'exploitation de l'open source par des entreprises du Fortune 500.
Le 23 janvier, les systèmes de détection automatique des malwares de Sonatype ont remarqué qu'un utilisateur a inondé le dépôt PyPI de 1 275 paquets de confusion de dépendance.
L'une des plus importantes applications de cryptomonnaie vietnamiennes, ONUS, a subi une cyberattaque due à une vulnérabilité de Log4j. Les pirates ont d'abord demandé à ONUS une rançon de 5 millions de dollars, avant de mettre en vente sur Internet les 2 millions de dossiers client après que la société a refusé de payer.
Une vulnérabilité zero-day critique dans Log4j, le framework de journalisation très populaire, est divulguée en parallèle d'un PoC public. Peu après, des pirates commencent à exploiter massivement la vulnérabilité afin d'introduire des logiciels malveillants sur des serveurs vulnérables. La CISA partage rapidement des conseils et crée une page web dédiée pour inciter les entreprises à remédier aux attaques Log4Shell.
Ces paquets déposent des chevaux de Troie sur les appareils Windows et tentent d'infiltrer les instances Apache Mesos sur les systèmes Linux.
Des versions malveillantes de « coa » ont cassé des pipelines React dans le monde entier jusqu'à ce qu'elles soient supprimées. Ces versions contenaient un cheval de Troie qui subtilisait des informations d'identification, similaire à celui vu dans les versions piratées de « ua-parser-js ».
Un autre paquet npm populaire, « rc », avec 14 millions de téléchargements hebdomadaires, est piraté pour diffuser des logiciels malveillants, quelques heures seulement après le piratage de « coa ». Le logiciel malveillant et le style d'attaque sont identiques, ce qui permet d'établir un lien entre les deux incidents. NPM attribue la cause des deux attaques à la compromission du compte du responsable du projet.
Entre le 12 et le 15 octobre, ont été découverts de nouveaux logiciels malveillants npm de cryptominage qui imitaient le paquet légitime « ua-parser-js » et ciblaient des appareils sous Linux, macOS et Windows.
Le 22 octobre, « ua-parser-js » une bibliothèque bien connue avec plus de 7 millions de téléchargements hebdomadaires, a été piratée. Les mêmes cryptomineurs ont été découverts.
Entre le 20 et le 26 octobre, Sonatype a découvert des paquets de typosquattage qui imitaient noblox.js, un wrapper d'API de jeu Roblox. Le logiciel malveillant Obfuscated trouvé dans un paquet npm inclut des fonctionnalités supplémentaires indésirables, notamment des chevaux de Troie, des ransomwares et même une surprise effrayante.
La plateforme de cryptomonnaies MISO de SushiSwap a subi un vol de 3 millions de dollars résultant d'une attaque de la chaîne logistique logicielle. Un seul commit malveillant dans le dépôt GitHub privé de Sushi a suffi pour modifier le portail de vente aux enchères de l'entreprise et remplacer l'adresse du portefeuille authentique par celle de l'attaquant.
Un groupe de ransomware a découvert et exploité une vulnérabilité zero day dans une plateforme de surveillance et de gestion à distance utilisée par des dizaines de fournisseurs de services de sécurité gérés. Étant donné que ces derniers ont des milliers de clients en aval, les pirates ont pu lancer une attaque de ransomware qui a fait 1 500 victimes.
Le week-end suivant son lancement, le registre de logiciels de winget a été inondé de pull requests pour des applications qui étaient soit en double, soit malformées. Des paquets en double récemment ajoutés étaient corrompus et ont écrasé les paquets existants, ce qui soulève de grandes inquiétudes concernant l'intégrité de l'écosystème winget.
Un pirate a réussi à obtenir un identifiant grâce à une erreur dans la façon dont Codecov créait des images Docker. Cet identifiant a permis de modifier le script bash de téléchargement de Codecov, qui a été utilisé soit directement par ses clients, soit via les autres téléchargeurs de Codecov, comme leur Action GitHub. Le pirate a utilisé ce script modifié pour voler des identifiants dans les environnements CI de clients qui l'utilisent.
Trois jours après l'annonce du piratage de 35 grandes entreprises technologiques par un chercheur éthique dans le cadre d'une attaque inédite contre les chaînes logistiques, plus de 300 attaques malveillantes d'imitateurs ont été observées. En un mois, plus de 10 000 imitateurs de confusion de dépendances ont infiltré plusieurs écosystèmes, dont npm.
Des pirates ont eu accès à l'infrastructure de développement de SolarWinds et ont injecté du code malveillant dans les binaires de mise à jour d'Orion. 18 000 clients ont automatiquement téléchargé des mises à jour contaminées, ce qui a eu pour effet d'installer des portes dérobées dans leur système et de permettre aux pirates d'exploiter des réseaux privés à leur guise.
La découverte du malware, appelé xpc.js dans le registre npm a confirmé son appartenance à la famille de malwares Discord récemment identifiée et appelée CursedGrabber. Ce malware cible les hôtes Window et dérobe des informations de Discord en envoyant les informations de l'utilisateur au pirate via un webhook.
Les composants suivants ont été identifiés comme les successeurs du malware « fallguys » : discord.dll, discord.app, wsbd.js, and ac-addonIls exfiltrent les fichiers « leveldb » de Discord et du navigateur Web et recueillent des données, telles que l'adresse IP, le « nom d'utilisateur du PC », les fichiers « discordcanary », etc.
Les paquets typosquattés malveillants jdb.js and db-json.js contiennent un cheval de Troie d'accès à distance, un njRAT, aussi appelé Bladabindi. Au moment de l'installation, le script malveillant commence la collecte et la reconnaissance de données avant de lancer patch.exe, un njRAT écrit en .NET. Cela permet à un pirate opérant à distance de consigner ce qui est écrit au clavier, de modifier des valeurs de registre et d'éteindre ou de redémarrer le système librement, entre autres activités néfastes.
Le paquet contrefait twilio-npm ouvre une porte dérobée sur l'appareil d'un utilisateur, ce qui permet aux pirates de le contrôler et d'exécuter du code à distance.
The electorn, loadyaml, lodashs, and loadyml ont tous été identifiés comme étant vulnérables. Une fois installés, ils recueillent et publient des informations sensibles, notamment l'adresse IP, la géolocalisation et l'empreinte de l'appareil, sur une page GitHub publique.
26 paquets open source se sont avérés compromis par injection de code malveillant. Le malware avait pour mission de recenser et d'infiltrer les projets NetBeans au moyen de portes dérobées via l'IDE NetBeans.
400 paquets ont été retirés du repository public pour cause de malwares de typosquatting et de minage de cryptomonnaie. Ils comprenaient notamment atlas-client (téléchargé 2 100 fois par les développeurs).
Le paquet npm malveillant 1337qq-js cible les systèmes UNIX en exfiltrant des informations sensibles telles que des mots de passe codés en dur ou des jetons d'accès API par le biais de scripts d'installation.
Deux bibliothèques Python python3-dateutil and jeIlyfish, ont été surprises en train de voler les clés SSH et GPG de projets ou développeurs infectés.
Toutes les versions de sj-tw-test-security contenaient du code malveillant. Le paquet téléchargeait et exécutait ainsi un script pour ouvrir un reverse shell sur le système touché et permettre à un pirate distant de le compromettre.
Profitant d'un exploit de typosquatting relatif aux lodash npm packages, all versions of the lodahs contenaient un malware visant à trouver et à exfiltrer des portefeuilles de cryptomonnaie. Les paquets web3b and web3-eht ont été supprimés pour le même type d'exploit.
Trois versions du paquet Gems, basic_authable, publiées en 2017, ont été retirées du repository Gems en raison de leur nature malveillante.
Une version compromise de rest-client, un client HTTP et REST pour Ruby populaire, a été importée sur RubyGems. Les versions affectées (1.6.10 à 1.6.13) ont été téléchargées environ 1 000 fois. Des vulnérabilités similaires ont également été découvertes dans les paquets Gem coming-soon and cron_parser.
Le composant bb-builder volait des informations de connexion des ordinateurs sur lesquels il était installé et les envoyait à un serveur distant.
Une entreprise de sécurité a identifié trois bibliothèques Python malveillantes libpeshnx, libpesh, and libari importées dans Python Package Index (PyPI). Celles-ci contenaient une porte dérobée activée lors de leur installation sur les systèmes Linux.
Cette attaque impliquait notamment l'exécution de code à distance dans les applications utilisant le composant strong_password . Le pirate compromettait le composant ainsi que ses dépendances et bloquait le gestionnaire.
Un paquet npm contenait du code conçu pour voler les mots de passe et autres informations de connexion spécifiques aux portefeuilles et applications de cryptomonnaie. Avertis par les chercheurs de npm, les créateurs des portefeuilles Agama ont transféré l'équivalent de 13 millions de dollars avant que les pirates ne puissent s'en emparer.
Des paquets ont été retirés du repository public car ils contenaient du code servant au minage de crypto-monnaie ou au vol de cookies/mots de passe.
Une version malveillante du célèbre paquet bootstrap-sass , téléchargée au total 28 millions de fois à ce jour, et comptant 1 600 dépendances, est publiée dans le repository RubyGems.
Le code injecté dans le paquet event-stream cible l'application Copay et a été conçu pour récupérer les détails de compte et les clés privées des comptes ayant un solde supérieur à 100 Bitcoins ou 1 000 Bitcoins Cash.
Un hacker accède au compte npm d'un développeur et injecte du code malveillant dans la bibliothèque JavaScript populaire intitulée eslint-scope, , un sous-module du plus célèbre ESLint, , un outil d'analyse de code JavaScript.
Un jeton API GitHub issu de l'outil Jenkins de Homebrew a permis à un chercheur en sécurité d'accéder à des repositories logiciels centraux de Homebrew.
« Si j'étais un pirate, j'aurais pu apporter une toute petite modification aux formules openssl, qui serait très certainement passée inaperçue et m'aurait permis de placer une porte dérobée sur n'importe quel appareil ayant procédé à une installation », a expliqué le chercheur Eric Holmes.
Des inconnus prennent le contrôle de l'organisation Github Gentoo et modifient le contenu des repositories ainsi que des pages qu'ils contiennent. L'ensemble du code est considéré comme compromis.
L'équipe de sécurité npm signale l'existence d'un paquet getcookies contenant du code malveillant. Ce dernier permettait à des utilisateurs d'exécuter à distance du code arbitraire sur les serveurs. L'enquête révèle également qu'un paquet existant appelé mailparser répertoriait depuis peu http-fetch-cookies comme l'une de ses dépendances. Bien qu'obsolète, mailparser continue d'être téléchargé près de 64 000 fois par semaine.
Le module Python ssh-decorator comportait une porte dérobée pour voler les identifiants SSH des utilisateurs, puis retransmettre ces données à un serveur distant.
Après qu'un développeur a supprimé leur go-bindata compte GitHub, un utilisateur a immédiatement récupéré l'identifiant, héritant ainsi de son patrimoine, et remettant en question les paquets et les sources qui y étaient associés.
Publication d'une version malveillante d'un paquet provenant d'un contributeur central de l'écosystème conventional-changelog . Le paquet a été installé 28 000 fois en 35 heures et a exécuté un mineur de Monero (cryptomonnaie).
Sur son blog, David Gilbertson écrit un conte fictif sur la création d'un paquet npm malveillant.
découverte de 10 paquets Python malveillants dont les noms avaient été intentionnellement mal orthographiés afin de tromper les utilisateurs. Des preuves de la présence de faux paquets dans le logiciel ont été relevées à plusieurs reprises entre juin et septembre 2017.
39 paquets collectés sur deux semaines, avec récupération des identifiants utilisés pour publier dans le repository npm lui-même.
Concerne l'accès à 14 % des repositories npm (79 000 paquets). Suite à cet événement, npm a réinitialisé les mots de passe et jetons d'authentification de plus de 1 000 développeurs.
Username docker123321 télécharge plusieurs images de conteneur comportant une porte dérobée dans le but d'installer des reverse shells et des mineurs de cryptomonnaie sur les serveurs des utilisateurs. Les images ne sont supprimées qu'en juin 2018. Quelques temps après, ce même nom d'utilisateur est accusé d'avoir contaminé un leurre Kubernetes (janvier 2018) et assimilé à un réseau de bots de minage de cryptomonnaie (mai 2018).
Le rapport de Sonatype associe un large éventail de données publiques et privées afin de présenter des conclusions importantes sur l'open source et son rôle croissant dans l'innovation numérique.
Découvrez comment une intelligence artificielle et un apprentissage automatique constamment optimisés, associés à 65 professionnels de premier rang avec plus de 500 ans d'expérience, sont parvenus à rassembler les données les plus qualitatives du secteur.
Êtes-vous exposé au risque de piratage d'une chaîne logistique logicielle ? Essayez gratuitement le scanner de vulnérabilités de Nexus et voyez si vos logiciels présentent des vulnérabilités open source.
Envie d'essayer Sonatype ?
Sécurisez et automatisez votre chaîne logistique logicielle.
