Les chercheurs en sécurité mettent en évidence une autre arnaque qui est devenue populaire parmi les pirates au cours des dernières années. Les paquets de code infectés avec des lignes de commande malveillantes servent de troupes de choc.
Le département de recherche de Check Point Software avertit tout le personnel de sécurité informatique des paquets de code frauduleux. Cette escroquerie peut être comptée parmi les attaques de la chaîne d'approvisionnement et les attaques de la chaîne de valeur, qui ont considérablement augmenté. Les cybercriminels tentent de pénétrer les systèmes des entrepreneurs et des particuliers de diverses manières, et les packages de code sont le nouveau véhicule des pirates.
Coder les packages comme des véhicules
Au cours des dernières années, les criminels les ont de plus en plus utilisés à mauvais escient : soit en introduisant clandestinement des lignes de commande malveillantes dans des packages de code authentiques distribués via des référentiels en ligne et des gestionnaires de packages, soit simplement en publiant eux-mêmes des packages de code malveillant qui semblent légitimes . Surtout, cela jette le discrédit sur les fournisseurs tiers réellement dignes de confiance de ces référentiels et a un impact sur les écosystèmes informatiques souvent répandus de l'open source. Node.js (NPM) et Python (PyPi) sont particulièrement ciblés.
Exemple 1
Le 8 août, le paquet de code infecté Python-drgn a été téléchargé sur PyPi, abusant du nom du vrai paquet drgn. Ceux qui le téléchargent et l'utilisent permettent aux pirates informatiques derrière eux de collecter les informations privées des utilisateurs pour les revendre, se faire passer pour eux, prendre le contrôle des comptes d'utilisateurs et collecter des informations sur les employeurs des victimes. Ceux-ci sont envoyés à un canal Slack privé. La chose dangereuse est qu'il n'inclut qu'un fichier setup.py, qui est utilisé dans le langage Python uniquement pour les installations et récupère automatiquement les packages Python sans interaction de l'utilisateur. Cela seul rend le fichier suspect puisque tous les autres fichiers source habituels sont manquants. La partie malveillante se cache donc dans ce fichier d'installation.
Exemple 2
Le package de code infecté bloxflip était également proposé sur PyPi, qui abuse du nom de Bloxflip.py. Cela désactive d'abord Windows Defender pour éviter la détection. Après cela, il télécharge un fichier exécutable (.exe) à l'aide de la fonction Get de Python. Un sous-processus est alors lancé et le fichier est exécuté dans l'environnement de développement sensible, car privilégié, du système.
L'année 2022 montre à quel point la mise en garde des chercheurs en sécurité contre cette méthode est importante : le nombre de paquets de codes malveillants a augmenté de 2021 % par rapport à 633.
Plus sur CheckPoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.