Crédit : Dreamstime
Le populaire superviseur de plan JavaScript NPM et le registre Windows ont été touchés avec un afflux de plans destructeurs, dont les plus dangereux appartiennent au vol d’informations, à l’extraction de crypto, aux botnets et à l’exécution de code à distance, selon une étude de la société de sécurité WhiteSource.
La plate-forme de détection automatisée des logiciels malveillants de WhiteSource, WhiteSource Diffend , a découvert un total de 1 300 packages destructeurs sur NPM, sur une durée de 6 mois se terminant en décembre 2021.
Tous les plans nuisibles reconnus par WhiteSource ont été alertés par NPM et ont ensuite été supprimés du registre des packages pc.
NPM est un superviseur de plan couramment utilisé et un registre informatique avec plus de 1,8 million d’ensembles actifs, chaque plan ayant un un peu plus de 12 versions en moyenne. Un bundle est un ensemble pré-écrit de fonctions utiles qui peuvent être appelées dans un environnement de programmation sans avoir à écrire chaque ligne de code à partir de zéro. Un gestionnaire de bundles est un activateur produit avec du code open source qui permet d’installer ou de mettre à jour ces packages. NPM est un gestionnaire de bundles par défaut pour l’environnement d’exécution JavaScript couramment utilisé Node.js.
Le NPM est devenu une cible continue des mauvaises étoiles, selon WhiteSource. Un rapport récemment publié par WhiteSource indique que 57 % des attaques se produisent pendant 3 jours de la semaine : vendredi, samedi et dimanche. La plupart d’entre elles (81,7 %) sont des attaques de « reconnaissance », y compris des techniques qui incluent des ennemis collectant activement ou passivement des détails qui peuvent être utilisés pour soutenir le ciblage. 14% des attaques sont développées pour prendre des informations telles que des informations d’identification et d’autres informations délicates.
Les attaques NPM et leurs stratégies distinctes
Quelques-uns des nouveaux logiciels malveillants repérés par WhiteSource incluent :
- Mos- sass-loader et css-resources-loader : des plans destinés à émuler les populaires bundles NPM style-resource-loader et saas-loader et à insérer du code source malveillant pour télécharger des voleurs d’informations tiers et également obtenir des connexions pour l’exécution de code à distance (RCE );
- Circle-admin-web-app et browser-warning-ui : bundles contenant du code nuisible conçu pour télécharger des packages externes spécifiques au système d’exploitation avec des logiciels malveillants pour démarrer RCE ;
- Noopenpaint : Un bundle de trolls sans code destructeur qui lance quelques applications à tour de rôle et indique « vous avez été piraté ; «
- @grubhubprod_cookbook : le bundle utilise la confusion des dépendances pour cibler particulièrement Grubhub, pour intercepter informations et les envoyer à un emplacement distant ;
- Azure-web-pubsub-express : un ensemble d’études de recherche sur la sécurité sans intention de nuire, pour recueillir des informations système et des informations sur l’interface réseau et les envoyer à interactsh.com ;
- Reac1 et reect1 : un ensemble de simulation d’exercices se présentant comme un plan d’étude de recherche et essayant de diriger les requêtes http du système hôte vers le webhook. com ;
- Mrg-message-broker : comparable à @grubhubprod_cookbook, utilise la confusion des dépendances pour prendre des données d’environnement ;
- @sixt-web/api-client-sixt-v2-apps : un autre plan de confusion des dépendances regroupant les informations système lors de la configuration ;
- @maui-mf/app-auth : un éventuel package d’attaque SRRF (falsification de demande côté serveur) exécutant la découverte des fonctions d’instance de service de métadonnées AWS et les envoyant à un domaine fictif externe.
La majorité de ces attaques relèvent de quatre catégories de risques nuisibles, à savoir le minage de cryptomonnaies, le vol de données, les botnets et les études de recherche sur la sécurité. Les packages d’études de recherche sur la sécurité sont ceux qui se présentent comme des programmes de recherche sur la sécurité, mais en réalité, incluent l’exécution de code à distance (RCE) prévue pour acquérir un accès complet à un hôte.
D’autres packages moins dangereux comprenaient des script kids et des hacks SEO. « Les script kiddies sont des bundles qui ne causent pas de dommages ou ne collectent pas de données, mais impriment des messages troublants comme » Vous avez été piraté « », explique Maciej Mansfeld, responsable principal des travaux chez WhiteSource. « Certains plans tentent également d’utiliser le fait que NPM affiche le README des bundles sur son registre Windows en ligne pour développer le référencement pour leur présence en ligne. Nous avons vu des casinos en ligne et des sites Web sensuels tenter d’exploiter cela. »
La confusion des dépendances présente un risque majeur
Le rapport recommande la prudence, en particulier concernant les attaques qui veulent exploiter la confusion des dépendances dans NPM, et le fait que la majorité du mauvais code a besoin même pas être téléchargé manuellement pour que l’attaque fonctionne.
« Une attaque par confusion de dépendance est une sorte d’attaque de la chaîne d’approvisionnement qui se produit lorsqu’un gestionnaire de plan est manipulé pour fournir un code malveillant plutôt que le code prévu », déclare Mansfeld. « La technique la plus populaire pour exploiter cette vulnérabilité consiste à utiliser un mécanisme de hiérarchisation des gestionnaires de bundles pour fournir les versions actuelles. »
Dans de tels cas, lorsque les ennemis trouvent effectivement un nom de groupe de dépendance interne, ils peuvent alors développer un plan public avec le même nom avec un numéro de version supérieur. Le bundle public nuisible sera alors choisi par le superviseur du package et immédiatement installé à chaque fois qu’une mise à jour est appelée.
Comment rester en sécurité sur le NPM
Le rapport conseille d’adopter une politique de non-confiance absolue sur le système, en ne mettant à jour que lorsque le contenu d’un plan est positif ; connaître l’environnement et suivre fréquemment les modifications ; faire fonctionner la combinaison continue (CI) dans un étage séparé ; et garder un œil sur le SDLC (processus de développement d’applications logicielles).
Garder un œil sur les plans qui téléchargent des éléments distants lors de la configuration et garder une trace de toutes les pièces OSS (système d’assistance aux opérations) utilisées sont également de bonnes routines d’hygiène pour les utilisateurs finaux du NPM, selon Mansfeld.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
