Avis sur les menaces à la cybersécurité : attaque de la chaîne logistique GitHub

Des acteurs malveillants ont lancé une attaque de la chaîne d’approvisionnement logicielle qui ciblait des développeurs de la plateforme GitHub. Dans cet avis sur les menaces de cybersécurité, Barracuda recommande de prendre des mesures proactives précises afin d’atténuer les risques.

Nature de la menace

Diverses techniques ont été utilisées pour lancer cette attaque, notamment l’utilisation de cookies de navigateur volés pour prendre le contrôle de comptes, et la contribution au code malveillant avec des validations vérifiées sur GitHub. Cela impliquait également de créer un miroir Python personnalisé et de publier des packages malveillants dans le registre PyPI (Python Package Index), en le reliant à des projets populaires sur GitHub. Le typo squatting a été utilisé pour déguiser le registre miroir des packages Python malveillants en « files[.]pypihosted[.]org », ce qui ressemble beaucoup au miroir Python officiel, « files.pythonhosted.org ». C’est là que se trouvent normalement les fichiers d’artefacts officiels des packages PyPI.

Cette technique a conduit au déploiement d’une copie falsifiée de Colorama, un package utilisé par les développeurs pour ajouter de la couleur et du style au texte dans les sorties des terminaux. Les acteurs malveillants ont été en mesure de lancer une attaque silencieuse de la chaîne d’approvisionnement logicielle qui a volé des mots de passe, des identifiants et d’autres données à partir de systèmes infectés qui ciblaient les développeurs.

Pourquoi est-ce important ?

Des millions de personnes utilisent GitHub et Colorama, ce qui accroît l’impact potentiel de cette attaque sur la chaîne d’approvisionnement. Les modifications de code non autorisées peuvent également avoir des effets néfastes.

Quel est le risque ou le degré d'exposition ?

Les ressources malveillantes peuvent voler une grande variété d’informations, y compris des données provenant de navigateurs tels que Edge, Chrome, Opera et Yandex. Ces données comprennent des informations de remplissage automatique, des cookies, des cartes de crédit, des identifiants de connexion et l’historique de navigation. L’acteur malveillant peut également s’introduire dans Discord, à la recherche de jetons à décrypter pour accéder au compte de la victime et voler des portefeuilles de cryptomonnaies, s’emparer de données Telegram et exfiltrer des fichiers informatiques. Il cherche aussi à voler des informations sensibles dans les fichiers Instagram à l’aide d’un jeton de session et peut enregistrer les frappes au clavier des victimes, exposant ainsi des informations telles que des mots de passe, des messages personnels et des détails financiers.

Quelles sont les recommandations ?

Barracuda recommande les mesures suivantes pour limiter l'impact des attaques contre la chaîne d'approvisionnement :

• Vérifier les dépendances et les ressources avant d'interagir avec elles.
• Surveiller toute activité réseau suspecte.
• Maintenir une posture de sécurité appropriée pour atténuer le risque et l'impact de cette attaque.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

• https://securityboulevard.com/2024/03/complex-supply-chain-attack-targets-github-developers/
• https://medium.com/@demonia/discovering-malwares-in-public-github-repositories-3e080f030ecc
• https://www.theregister.com/2024/03/25/python_package_malware/

Remarque : cet article a été initialement publié sur SmarterMSP.