Une nouvelle campagne malveillante a été observée piratant des comptes GitHub et émettant du code malveillant déguisé en contributions Dependabot dans le but de voler les mots de passe des développeurs.
« Le code malveillant exfiltre les secrets définis du projet GitHub vers un serveur C2 malveillant et modifie tous les fichiers javascript existants dans le projet attaqué avec un code malveillant de vol de mot de passe de formulaire Web affectant tout utilisateur final soumettant son mot de passe dans un formulaire Web », Checkmarx a déclaré dans un rapport technique.
Le malware est également conçu pour capturer les secrets et variables GitHub sur un serveur distant au moyen d’une action GitHub.
La société de sécurité de la chaîne d’approvisionnement en logiciels a déclaré avoir observé des engagements atypiques dans des centaines de référentiels GitHub publics et privés entre le 8 et le 11 juillet 2023.
Il est apparu que les victimes se sont fait voler leurs jetons d’accès personnels GitHub et ont été utilisés par les acteurs de la menace pour valider du code malveillant dans les référentiels des utilisateurs en se faisant passer pour Dependabot.
Dependabot est conçu pour alerter les utilisateurs des vulnérabilités de sécurité dans les dépendances d’un projet en générant automatiquement des demandes d’extraction pour les maintenir à jour.
« Les attaquants ont accédé aux comptes à l’aide de PAT (Personal Access Token) compromis, très probablement exfiltrés silencieusement de l’environnement de développement de la victime », a indiqué la société. La plupart des utilisateurs compromis se trouvent en Indonésie.
Cependant, la méthode exacte par laquelle ce vol a pu avoir lieu n’est pas claire à l’heure actuelle, même si l’on soupçonne qu’il pourrait s’agir d’un paquet malveillant installé par inadvertance par les développeurs.
Ce développement met en évidence les tentatives continues des acteurs menaçants d’empoisonner les écosystèmes open source et de faciliter les compromissions dans la chaîne d’approvisionnement.
En témoigne une nouvelle campagne d’exfiltration de données ciblant à la fois npm et PyPI, qui utilise jusqu’à 39 packages contrefaits pour collecter des informations sensibles sur la machine et transmettre les détails à un serveur distant.
Les modules, publiés sur plusieurs jours entre le 12 et le 24 septembre 2023, démontrent une augmentation progressive de la complexité, de la portée et des techniques d’obscurcissement, a déclaré Phylum.
La société israélienne suit également ce qu’elle a qualifié de vaste campagne de typosquat visant npm, dans laquelle 125 packages se faisant passer pour angulaire et réactif sont utilisés pour envoyer des informations machine à un canal Discord distant.
Cependant, l’activité semble faire partie d’un « projet de recherche », l’auteur affirmant qu’il est fait pour « découvrir si l’un des programmes de bug bounty auquel je participe est affecté par l’un des packages afin que je puisse être le premier à les avertir et à protéger leurs infrastructures. »
« Cela constitue une violation de la politique d’utilisation acceptable du NPM, et ce type de campagnes met à rude épreuve les personnes chargées de maintenir ces écosystèmes propres », a averti Phylum.
