IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Des hackers ont inondé NPM avec de faux packages, provoquant une attaque DoS

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 682
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 682
    Points : 202 077
    Points
    202 077
    Par défaut Des hackers ont inondé NPM avec de faux packages, provoquant une attaque DoS
    Des hackers ont inondé NPM avec de faux packages, provoquant une attaque DoS qui a rendu NPM instable,
    selon un rapport de Checkmarx qui note une explosion de packages publiés en mars

    Des acteurs malveillants ont inondé le référentiel de packages open source npm pour Node.js avec de faux packages qui ont même brièvement entraîné une attaque par déni de service (DoS). « Les acteurs malveillants créent des sites Web malveillants et publient des packages vides contenant des liens vers ces sites Web malveillants, profitant de la bonne réputation des écosystèmes open source sur les moteurs de recherche », a déclaré Jossef Harush Kadouri de Checkmarx dans un rapport. « Les attaques ont provoqué un déni de service (DoS) qui a rendu NPM instable avec des erreurs sporadiques "Service indisponible" ».

    Alors que des campagnes similaires ont récemment été observées propageant des liens de phishing, la dernière vague a poussé le nombre de versions de packages à 1,42 million, une augmentation spectaculaire par rapport aux quelque 800 000 packages publiés sur npm.

    Citation Envoyé par Jossef Harush Kadouri
    Nous avons vu des campagnes de spam dans les écosystèmes open source au cours de l'année écoulée, mais ce mois-ci a été de loin le pire que nous ayons jamais vu.

    Apparemment, les attaquants ont trouvé les écosystèmes open source non vérifiés comme une cible facile pour effectuer un empoisonnement SEO pour diverses campagnes malveillantes. Tant que le nom n'est pas pris, ils peuvent publier un nombre illimité de packages.

    En règle générale, le nombre de versions de packages publiées sur NPM est d'environ 800*000. Cependant, le mois précédent, ce chiffre dépassait 1,4 million en raison du volume élevé de campagnes de spam.
    Nom : mois.png
Affichages : 150153
Taille : 91,2 Ko

    La technique d'attaque tire parti du fait que les référentiels open source sont classés plus haut dans les résultats des moteurs de recherche pour créer des sites Web malveillants et télécharger des modules npm vides avec des liens vers ces sites dans les fichiers README.md.

    Citation Envoyé par Jossef Harush Kadouri
    Empoisonnement du référencement

    Dans cette méthode d'attaque, les cybercriminels créent des sites Web malveillants et publient des packages vides avec des liens vers ces sites Web malveillants. Étant donné que les écosystèmes open source sont très réputés sur les moteurs de recherche, tous les nouveaux packages open source et leurs descriptions héritent de cette bonne réputation et deviennent bien indexés sur les moteurs de recherche, ce qui les rend plus visibles pour les utilisateurs non avertis.
    Nom : visibles.png
Affichages : 3167
Taille : 153,0 Ko

    Étant donné que l'ensemble du processus est automatisé, la charge créée par la publication de nombreux packages a conduit NPM à rencontrer par intermittence des problèmes de stabilité vers la fin du mois de mars 2023.

    Citation Envoyé par Jossef Harush Kadouri
    Déni de service

    La charge imparable créée par ces scripts automatisés a rendu NPM instable avec des erreurs sporadiques «*Service indisponible*». Je peux être témoin au cours de la semaine dernière que cela m'est arrivé à moi et à mes collègues à plusieurs reprises.
    Nom : service.png
Affichages : 3177
Taille : 51,4 Ko

    Checkmarx souligne que bien qu'il puisse y avoir plusieurs acteurs derrière l'activité, l'objectif final est d'infecter le système de la victime avec des logiciels malveillants tels que RedLine Stealer, Glupteba, SmokeLoader et les mineurs de cryptomonnaie.

    Campagnes de spam

    Nous avons identifié plusieurs campagnes et nous pensons qu'elles sont probablement toutes exploitées par le même acteur malveillant, bien que nous ne puissions pas le confirmer pour le moment. Il est possible qu'il y ait plusieurs acteurs malveillants, chacun lançant une campagne malveillante individuellement.

    Le concept est simple. Chaque package ne contient rien d'autre qu'un fichier readme. Ce fichier Lisez-moi s'affiche sur la page du package et contient un lien unique et court vers un autre site Web avec le contexte du package npm d'origine.

    Campagne d'infection par des logiciels malveillants

    Le but de cette campagne est d'infecter la victime avec un fichier .exe malveillant. L'appât est une description warez illégale tentante. Très probablement, les victimes vont chercher et atterrir sur ces pages npm.

    Nom : office.png
Affichages : 3192
Taille : 115,8 Ko

    En cliquant sur le lien court, il y a un site Web personnalisé qui semble être légitime, mais qui est hébergé sur l'infrastructure de l'acteur malveillant, offrant un téléchargement du logiciel warez.

    Cela télécharge un fichier zip chiffré par mot de passe qui, une fois extrait, crée un fichier .exe rempli de zéros d'une taille d'environ 600 Mo. Cette technique est utilisée pour éviter la détection par les EDR [ndlr. EDR, ou Endpoint Detection and Response, désigne une technologie logicielle émergente de détection des menaces de sécurité informatique des équipements numériques (ordinateurs, serveurs, tablettes, objets connectés, etc.)]. [...]

    Campagne d'escroquerie de parrainage AliExpress

    Comme nous l'avons couvert dans ce rapport, les attaquants se sont liés à des sites Web de vente au détail tels qu'AliExpress en utilisant des identifiants de parrainage créés par eux, profitant ainsi des récompenses de parrainage.

    Campagne d'escroquerie crypto

    Dans ce cas, les attaquants ont invité les utilisateurs russes à rejoindre une chaîne Telegram spécialisée dans la cryptographie. Il existe toutes sortes de mots-clefs.
    Et de conclure en ces termes :

    L'ampleur de cette campagne est considérable. La charge a rendu NPM instable avec des erreurs sporadiques « Service indisponible ».

    La bataille contre les acteurs malveillants qui empoisonnent notre écosystème de chaîne d'approvisionnement logicielle continue d'être difficile, car les attaquants s'adaptent constamment et surprennent l'industrie avec des techniques nouvelles et inattendues.
    Pour empêcher de telles campagnes automatisées, Checkmarx a recommandé à npm d'incorporer des techniques anti-bot lors de la création du compte utilisateur.

    Source : Checkmarx

    Et vous ?

    Quelle lecture faites-vous de ce rapport ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    939
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2009
    Messages : 939
    Points : 2 875
    Points
    2 875
    Par défaut
    Pour empêcher de telles campagnes automatisées, Checkmarx a recommandé à npm d'incorporer des techniques anti-bot lors de la création du compte utilisateur.

Discussions similaires

  1. Réponses: 3
    Dernier message: 22/04/2020, 04h50
  2. Réponses: 6
    Dernier message: 22/10/2019, 15h17
  3. Réponses: 0
    Dernier message: 16/04/2019, 09h42
  4. Réponses: 1
    Dernier message: 27/11/2018, 11h48
  5. Réponses: 80
    Dernier message: 24/03/2017, 09h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo