GitHub a du mal contenir une attaque en cours qui inonde le site de millions de dpts de code. Ces dpts contiennent des logiciels malveillants obscurcis qui volent les mots de passe et la cryptomonnaie des appareils des dveloppeurs, ont dclar les chercheurs.
Les quipes de recherche en scurit et en science des donnes d’Apiiro ont dtect une rsurgence d’une campagne de confusion de dpts malveillants qui a commenc au milieu de l’anne dernire, mais cette fois une chelle beaucoup plus grande. L’attaque touche plus de 100 000 dpts GitHub (et probablement des millions) lorsque des dveloppeurs peu mfiants utilisent des dpts qui ressemblent des dpts connus et fiables, mais qui sont en fait infects par un code malveillant.
Comment les attaques par confusion de dpts se produisent-elles ?
Comme pour les attaques par confusion de dpendances, les acteurs malveillants incitent leur cible tlcharger leur version malveillante au lieu de la vraie. Mais les attaques par confusion de dpendances tirent parti du fonctionnement des gestionnaires de paquets, tandis que les attaques par confusion de dpts s’appuient simplement sur le fait que les humains choisissent par erreur la version malveillante au lieu de la vraie, en recourant parfois aussi des techniques d’ingnierie sociale.
Dans le cas prsent, afin de maximiser les chances d’infection, l’acteur malveillant inonde GitHub de dpts malveillants, en suivant les tapes suivantes :
- Cloner des dpts existants (par exemple : TwitterFollowBot, WhatsappBOT, discord-boost-tool, Twitch-Follow-Bot, et des centaines d’autres).
- Les infecter avec des chargeurs de logiciels malveillants.
- Les uploader nouveau sur GitHub avec des noms identiques.
- En les forkant automatiquement des milliers de fois.
- Les promouvoir secrtement sur le web via des forums, discord, etc.
Que se passe-t-il lorsque les dpts malveillants sont utiliss ?
Lorsque des dveloppeurs peu mfiants utilisent l’un des dpts malveillants, la charge utile cache dballe sept couches d’obscurcissement, ce qui implique galement l’extraction d’un code Python malveillant et, plus tard, d’un excutable binaire. Le code malveillant (en grande partie une version modifie de BlackCap-Grabber) recueille alors les identifiants de connexion de diffrentes applications, les mots de passe et les cookies du navigateur, ainsi que d’autres donnes confidentielles. Il les renvoie ensuite au serveur C&C (commande et contrle) des acteurs malveillants et excute une longue srie d’activits malveillantes supplmentaires.
Les effets de l’automatisation sur GitHub
La plupart des dpts forks sont rapidement supprims par GitHub, qui identifie l’automatisation. Cependant, la dtection de l’automatisation semble manquer de nombreux dpts, et ceux qui ont t tlchargs manuellement survivent. tant donn que la chane d’attaque semble tre principalement automatise grande chelle, les 1 % qui survivent reprsentent tout de mme des milliers de dpts malveillants. Vous pouvez vrifier vous-mme une petite partie de la vague actuelle en recherchant simplement ce qui suit dans GitHub : 🔥 2024 language:python.
En comptant ceux qui ont t supprims, le nombre de dpts atteint des millions. En gnral, la suppression a lieu quelques heures aprs l’upload, il est donc difficile de les documenter. L’quipe d’Apiiro sait que la suppression est automatise parce que beaucoup des originaux existent encore, et elle cible principalement les fork bombs. Par exemple, vous pourrez observer que des milliers de forks apparaissent dans le rsum mais aucune dans les dtails.
En raison de l’ampleur de l’opration, cette campagne a une sorte d’effet de rseau d’ingnierie sociale de second ordre lorsque, de temps en temps, des utilisateurs nafs forcent les dpts malveillants sans se rendre compte qu’ils propagent des logiciels malveillants. Il est assez ironique de constater que la propagation est le fait d’humains aprs une telle dpendance l’gard de l’automatisation.
Quand la campagne a-t-elle commenc ?
Voici un bref historique de cette campagne malveillante :
Mai 2023 : Comme l’a initialement signal Phylum, plusieurs paquets malveillants ont t tlchargs sur PyPI, contenant les premires parties de la charge utile actuelle. Ces paquets ont t diffuss par des appels « os.system(« pip install package ») » placs dans des forks de dpts GitHub populaires, tels que « chatgpt-api ».
Juillet – aot 2023 : Plusieurs dpts malveillants ont t tlchargs sur GitHub, cette fois-ci en livrant la charge utile directement au lieu d’importer des paquets PyPI. Cela s’est produit aprs que PyPI a supprim les paquets malveillants et que la communaut de la scurit s’y est intresse de plus prs.
Novembre 2023 – Aujourd’hui : Apiiro a dtect plus de 100 000 dpts contenant des charges utiles malveillantes similaires, et ce nombre ne cesse d’augmenter. Cette mthode d’attaque prsente plusieurs avantages :
GitHub est norme, donc malgr le grand nombre d’instances, leur part relative reste insignifiante et donc difficile dtecter.
Les gestionnaires de paquets ne sont pas impliqus comme auparavant, les noms de paquets malveillants explicites ne sont donc pas mentionns, ce qui constitue un indicateur de moins.
Les dpts cibls se trouvent dans une petite niche et ont une faible popularit, ce qui facilite la tche des dveloppeurs peu mfiants qui commettent l’erreur de cloner leurs imitateurs malveillants.
La transition des logiciels malveillants des gestionnaires de paquets vers les SCM
en juger par les nombreux incidents qui ont t observs dans les gestionnaires de paquets et les plateformes SCM, la transition de cette campagne des paquets malveillants de PyPI vers les dpts malveillants de GitHub semble reflter une tendance gnrale. Il semble qu’aujourd’hui, la communaut de la scurit se concentre davantage sur les gestionnaires de paquets, ce qui tait prvisible.
La facilit de gnration automatique de comptes et de dpts sur GitHub et autres, l’aide d’API confortables et de limites de taux souples faciles contourner, combine au grand nombre de dpts dans lesquels se cacher, en fait une cible parfaite pour infecter secrtement la chane d’approvisionnement logicielle.
Cette campagne, ainsi que les campagnes de confusion des dpendances qui svissent dans les registres de paquets et les codes malveillants gnralement diffuss par les gestionnaires de contrle des sources, montrent quel point la scurit de la chane d’approvisionnement logicielle est fragile, en dpit de l’abondance des outils et des mcanismes de scurit disponibles.
Comment se protger contre les confusions de dpts
GitHub a t prvenu et la plupart des dpts malveillants ont t supprims, mais la campagne se poursuit et les attaques visant injecter du code malveillant dans la chane d’approvisionnement sont de plus en plus frquentes. Il existe d’innombrables solutions pour attraper les logiciels malveillants au niveau du systme et du rseau, mais la chane d’approvisionnement reste une surface d’attaque massive et lucrative pour les acteurs malveillants.
Chez Apiiro, un systme de dtection des codes malveillants a t mis au point pour surveiller toutes les bases de code connectes. Les attaques sont ensuite dtectes par une analyse approfondie du code l’aide de plusieurs techniques avances : analyse de code base sur LLM, dconstruction du code en un graphique complet du flux d’excution, moteur heuristique labor, dcodage, dcryptage et dsobfuscation dynamiques, et plus encore, de sorte qu’il est trs difficile de le tromper.
Sans surveillance de votre code pour les charges utiles malveillantes injectes, la scurit de toute votre organisation est dtermine par des choses telles que la capacit de vos dveloppeurs ne pas choisir le mauvais dpt, qui est presque identique, ne pas avoir une seule mauvaise configuration CI/CD, avoir un code tiers scuris 100 %, et d’autres conditions impossibles. C’est pourquoi, en tant qu’industrie, nous devons commencer aller au-del de la dtection et de l’ingestion de vulnrabilits classiques pour mettre en vidence la nouvelle gnration de risques lis la chane d’approvisionnement et aux applications logicielles.
Sources : Apiiro (Matan Giladi, chercheur en scurit, Gil David, responsable de l’IA)
Et vous ?
Quelle lecture faites-vous de cette situation ?
Voir aussi :