Les pirates utilisent de plus en plus leurs propres packages de code pour les attaques ou insèrent une ligne de commande malveillante dans des packages de code distribués via des référentiels en ligne et des gestionnaires de packages. L'escroquerie devient de plus en plus populaire parmi les pirates. L'augmentation de 2021 à 2022 était déjà de plus de 600%, selon Check Point.
Check Point Research (CPR), le département de recherche de Check Point Software Technologies, met en garde toutes les forces de sécurité informatique contre les paquets de code frauduleux. ThreatCloud a trouvé plusieurs objets malveillants. Cette escroquerie peut être comptée parmi les attaques de la chaîne d'approvisionnement et les attaques de la chaîne de valeur, qui ont considérablement augmenté.
Les packages de code de confiance sont infectés
Les cybercriminels tentent de pénétrer les systèmes des entrepreneurs et des particuliers de diverses manières, et les packages de code sont le nouveau véhicule des pirates. Au cours des dernières années, selon CPR, les criminels en ont de plus en plus abusé à leurs fins : soit en introduisant clandestinement des lignes de commande malveillantes dans de vrais packages de code distribués via des référentiels en ligne et des gestionnaires de packages, soit simplement en publiant eux-mêmes des packages de code malveillants, qui semblent légitimes. Surtout, cela jette le discrédit sur les fournisseurs tiers réellement dignes de confiance de ces référentiels et a un impact sur les écosystèmes informatiques souvent répandus de l'open source. Node.js (NPM) et Python (PyPi) sont particulièrement ciblés.
Exemple 1 : le 8 août, le package de code infecté Python-drgn a été chargé sur PyPi, qui utilise à mauvais escient le nom du vrai package drgn. Ceux qui le téléchargent et l'utilisent permettent aux pirates informatiques derrière eux de collecter les informations privées des utilisateurs pour les revendre, se faire passer pour eux, prendre le contrôle des comptes d'utilisateurs et collecter des informations sur les employeurs des victimes. Ceux-ci sont envoyés à un canal Slack privé. La chose dangereuse est qu'il n'inclut qu'un fichier setup.py, qui dans le langage Python n'est utilisé que pour les installations et récupère automatiquement les packages Python sans interaction de l'utilisateur. Cela seul rend le fichier suspect puisque tous les autres fichiers source habituels sont manquants. La partie malveillante se cache donc dans ce fichier d'installation.
Le code du package désactive Windows Defender
Exemple 2 : Le package de code infecté bloxflip, qui utilise à tort le nom de Bloxflip.py, était également proposé sur PyPi. Cela désactive d'abord Windows Defender pour éviter la détection. Après cela, il télécharge un fichier exécutable (.exe) à l'aide de la fonction Get de Python. Un sous-processus est alors lancé et le fichier est exécuté dans l'environnement de développement sensible, car privilégié, du système.
L'année 2022 montre à quel point la mise en garde des chercheurs en sécurité contre cette méthode est importante : le nombre de paquets de codes malveillants a augmenté de 2021 % par rapport à 633. Pour vous protéger, Check Point conseille : Vérifiez toujours l'authenticité de tous les codes sources des programmes et packages tiers. Chiffrez toujours les données importantes, à la fois en transit et au repos. Effectuer des audits réguliers des packages de code utilisés.
Plus sur CheckPoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.