Les chercheurs en cybersécurité ont découvert un nouveau lot de packages malveillants dans le registre des packages npm, conçus pour exfiltrer les configurations Kubernetes et les clés SSH des machines compromises vers un serveur distant.
Sonatype a déclaré avoir découvert jusqu’à présent 14 packages npm différents : @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am- fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy- fe, @virtualsearchtable/virtualsearchtable et Shineouts.
« Ces paquets […] tenter d’usurper l’identité des bibliothèques et des composants JavaScript, tels que les plugins ESLint et les outils TypeScript SDK », a déclaré la société de sécurité de la chaîne d’approvisionnement logicielle. « Mais, lors de l’installation, plusieurs versions des packages ont été vues exécutant du code obscurci pour collecter et siphonner les fichiers sensibles du machine cible. »
Outre la configuration Kubernetes et les clés SSH, les modules sont également capables de collecter des métadonnées système telles que le nom d’utilisateur, l’adresse IP et le nom d’hôte, qui sont toutes transmises à un domaine nommé app.threatest.[.]com.
La divulgation intervient un peu plus d’une semaine après que Sonatype a détecté des packages NPM contrefaits qui exploitent une technique connue sous le nom de confusion de dépendances pour usurper l’identité de packages internes prétendument utilisés par les développeurs de PayPal Zettle et Airbnb dans le cadre d’une expérience de recherche éthique.
Cela dit, les acteurs malveillants continuent de cibler les registres open source comme npm et PyPI avec des cryptojackers, des infostealers et d’autres nouveaux logiciels malveillants pour compromettre les systèmes des développeurs et, à terme, empoisonner la chaîne d’approvisionnement des logiciels.
Dans un cas souligné par Phylum plus tôt ce mois-ci, un module npm nommé hardhat-gas-report est resté inoffensif pendant plus de huit mois depuis le 6 janvier 2023, avant de recevoir deux mises à jour consécutives le 1er septembre 2023, pour inclure des logiciels malveillants. JavaScript capable d’exfiltrer les clés privées Ethereum copiées dans le presse-papiers vers un serveur distant.
« Cette approche ciblée indique une compréhension sophistiquée de la sécurité des crypto-monnaies et suggère que l’attaquant vise à capturer et à exfiltrer des clés cryptographiques sensibles pour un accès non autorisé aux portefeuilles Ethereum ou à d’autres actifs numériques sécurisés », a déclaré la société.
Un autre cas de tentative d’attaque de la chaîne d’approvisionnement implique un package npm astucieux appelé gcc-patch qui se fait passer pour un compilateur GCC sur mesure mais héberge en réalité un mineur de cryptomonnaie qui « exploite secrètement la puissance de calcul de développeurs innocents, dans le but de tirer profit à leurs dépens ».
De plus, ces campagnes se sont diversifiées pour couvrir les écosystèmes Javascript (npm), Python (PyPI) et Ruby (RubyGems), les acteurs malveillants téléchargeant plusieurs packages dotés de capacités de collecte et d’exfiltration de données et les suivant en publiant de nouvelles versions contenant des charges utiles malveillantes. .
La campagne cible spécifiquement les utilisateurs d’Apple macOS, indiquant que les logiciels malveillants présents dans les référentiels de packages open source sont non seulement de plus en plus répandus, mais qu’ils ciblent également d’autres systèmes d’exploitation au-delà de Windows.
« L’auteur de ces packages mène une vaste campagne contre les développeurs de logiciels », a noté Phylum dans une analyse. « L’objectif final de cette campagne reste flou. »
