Des acteurs malveillants ont inond le rfrentiel de packages open source npm pour Node.js avec de faux packages qui ont mme brivement entran une attaque par dni de service (DoS). Les acteurs malveillants crent des sites Web malveillants et publient des packages vides contenant des liens vers ces sites Web malveillants, profitant de la bonne rputation des cosystmes open source sur les moteurs de recherche , a dclar Jossef Harush Kadouri de Checkmarx dans un rapport. Les attaques ont provoqu un dni de service (DoS) qui a rendu NPM instable avec des erreurs sporadiques « Service indisponible » .
Alors que des campagnes similaires ont rcemment t observes propageant des liens de phishing, la dernire vague a pouss le nombre de versions de packages 1,42 million, une augmentation spectaculaire par rapport aux quelque 800 000 packages publis sur npm.
Envoy par Jossef Harush KadouriApparemment, les attaquants ont trouv les cosystmes open source non vrifis comme une cible facile pour effectuer un empoisonnement SEO pour diverses campagnes malveillantes. Tant que le nom n’est pas pris, ils peuvent publier un nombre illimit de packages.
En rgle gnrale, le nombre de versions de packages publies sur NPM est d’environ 800*000. Cependant, le mois prcdent, ce chiffre dpassait 1,4 million en raison du volume lev de campagnes de spam.
La technique d’attaque tire parti du fait que les rfrentiels open source sont classs plus haut dans les rsultats des moteurs de recherche pour crer des sites Web malveillants et tlcharger des modules npm vides avec des liens vers ces sites dans les fichiers README.md.
Envoy par Jossef Harush KadouriDans cette mthode d’attaque, les cybercriminels crent des sites Web malveillants et publient des packages vides avec des liens vers ces sites Web malveillants. tant donn que les cosystmes open source sont trs rputs sur les moteurs de recherche, tous les nouveaux packages open source et leurs descriptions hritent de cette bonne rputation et deviennent bien indexs sur les moteurs de recherche, ce qui les rend plus visibles pour les utilisateurs non avertis.
tant donn que l’ensemble du processus est automatis, la charge cre par la publication de nombreux packages a conduit NPM rencontrer par intermittence des problmes de stabilit vers la fin du mois de mars 2023.
Envoy par Jossef Harush KadouriLa charge imparable cre par ces scripts automatiss a rendu NPM instable avec des erreurs sporadiques *Service indisponible*. Je peux tre tmoin au cours de la semaine dernire que cela m’est arriv moi et mes collgues plusieurs reprises.
Checkmarx souligne que bien qu’il puisse y avoir plusieurs acteurs derrire l’activit, l’objectif final est d’infecter le systme de la victime avec des logiciels malveillants tels que RedLine Stealer, Glupteba, SmokeLoader et les mineurs de crypto-monnaie.
Campagnes de spam
Nous avons identifi plusieurs campagnes et nous pensons qu’elles sont probablement toutes exploites par le mme acteur malveillant, bien que nous ne puissions pas le confirmer pour le moment. Il est possible qu’il y ait plusieurs acteurs malveillants, chacun lanant une campagne malveillante individuellement.
Le concept est simple. Chaque package ne contient rien d’autre qu’un fichier readme. Ce fichier Lisez-moi s’affiche sur la page du package et contient un lien unique et court vers un autre site Web avec le contexte du package npm d’origine.
Campagne d’infection par des logiciels malveillants
Le but de cette campagne est d’infecter la victime avec un fichier .exe malveillant. L’appt est une description warez illgale tentante. Trs probablement, les victimes vont chercher et atterrir sur ces pages npm.
En cliquant sur le lien court, il y a un site Web personnalis qui semble tre lgitime mais qui est hberg sur l’infrastructure de l’acteur malveillant, offrant un tlchargement du logiciel warez.
Cela tlcharge un fichier zip chiffr par mot de passe qui, une fois extrait, cre un fichier .exe rempli de zros d’une taille d’environ 600 Mo. Cette technique est utilise pour viter la dtection par les EDR [ndlr. EDR, ou Endpoint Detection and Response, dsigne une technologie logicielle mergente de dtection des menaces de scurit informatique des quipements numriques (ordinateurs, serveurs, tablettes, objets connects, etc.)]. […]
Campagne d’escroquerie de parrainage AliExpress
Comme nous l’avons couvert dans ce rapport, les attaquants se sont lis des sites Web de vente au dtail tels qu’AliExpress en utilisant des identifiants de parrainage crs par eux, profitant ainsi des rcompenses de parrainage.
Campagne d’escroquerie crypto
Dans ce cas, les attaquants ont invit les utilisateurs russes rejoindre une chane Telegram spcialise dans la cryptographie. Il existe toutes sortes de mots-cls.
Et de conclure en ces termes :
L’ampleur de cette campagne est considrable. La charge a rendu NPM instable avec des erreurs sporadiques Service indisponible .
La bataille contre les acteurs malveillants qui empoisonnent notre cosystme de chane d’approvisionnement logicielle continue d’tre difficile, car les attaquants s’adaptent constamment et surprennent l’industrie avec des techniques nouvelles et inattendues.
Pour empcher de telles campagnes automatises, Checkmarx a recommand npm d’incorporer des techniques anti-bot lors de la cration du compte utilisateur.
Source : Checkmarx
Et vous ?
Quelle lecture faites-vous de ce rapport ?