Exploitation de Piratage à Grande Échelle
Une exploitation de piratage à grande échelle ciblant le code JavaScript à l’aide de logiciels malveillants, qui a suscité des alarmes plus tôt cette semaine, a réussi à dérober seulement 1 043 $ en cryptomonnaie, selon les données d’Arkham Intelligence.
Analyse de l’Attaque
Les chercheurs en cybersécurité de Wiz ont publié une analyse d’une attaque de chaîne d’approvisionnement « répandue » hier, indiquant que des acteurs malveillants ont utilisé l’ingénierie sociale pour prendre le contrôle d’un compte GitHub appartenant à Qix (Josh Junon), un développeur de paquets de code populaires pour JavaScript.
Les hackers ont publié des mises à jour pour certains de ces paquets, ajoutant du code malveillant qui activait des API et des interfaces de portefeuille crypto, tout en scannant les transactions de cryptomonnaie afin de réécrire les adresses des destinataires et d’autres données de transaction.
Alarmant, les chercheurs de Wiz concluent que 10 % des environnements cloud contiennent une instance de ce code malveillant, et que 99 % de tous les environnements cloud utilisent certains des paquets ciblés par les hackers responsables.
Impact Financier et Étendue de l’Exploitation
Malgré l’échelle potentielle de l’exploitation, les dernières données d’Arkham suggèrent que les portefeuilles des acteurs de la menace ont jusqu’à présent reçu la somme relativement modeste de 1 043 $. Ce montant a augmenté très progressivement au cours des derniers jours, englobant des transferts principalement de tokens ERC-20, avec des transactions individuelles valant entre 1,29 $ et 436 $.
La même exploitation s’est également étendue au-delà des paquets npm de Qix, avec une mise à jour d’hier de JFrog Security révélant que le système de gestion de base de données SQL DuckDB a été compromis. Cette mise à jour a également suggéré que l’exploitation « semble être le plus grand compromis npm de l’histoire », soulignant l’échelle et la portée alarmantes de l’attaque.
Augmentation des Attaques de Chaîne d’Approvisionnement
De telles attaques de chaîne d’approvisionnement logicielle deviennent de plus en plus courantes, ont déclaré les chercheurs de Wiz Research à Decrypt.
« Les attaquants ont réalisé que compromettre un seul paquet ou dépendance peut leur donner accès à des milliers d’environnements à la fois », ont-ils déclaré.
En effet, ces derniers mois ont été témoins de nombreux incidents similaires, y compris l’insertion de demandes de tirage malveillantes dans l’extension ETHcode d’Ethereum en juillet, qui a recueilli plus de 6 000 téléchargements.
« L’écosystème npm en particulier a été une cible fréquente en raison de sa popularité et de la manière dont les développeurs s’appuient sur des dépendances transitives », a déclaré Wiz Research.
Prévention et Détection
Selon Wiz, le dernier incident renforce la nécessité de protéger le pipeline de développement, les organisations étant invitées à maintenir une visibilité sur l’ensemble de la chaîne d’approvisionnement logicielle, tout en surveillant les comportements anormaux des paquets.
Cela semble être ce que de nombreuses organisations et entités ont fait dans le cas de l’exploitation de Qix, qui a été détectée dans les deux heures suivant sa publication. Une détection rapide a été l’une des principales raisons pour lesquelles les dommages financiers de l’exploitation restent limités.
« La charge utile était étroitement conçue pour cibler des utilisateurs avec des conditions spécifiques, ce qui a probablement réduit sa portée », ont-ils déclaré.
Les développeurs sont également plus conscients de telles menaces, ajoutent les chercheurs de Wiz, beaucoup ayant des protections en place pour détecter une activité suspecte avant qu’elle ne cause des dommages sérieux.
« Il est toujours possible que nous voyions des rapports d’impact retardés, mais sur la base de ce que nous savons aujourd’hui, la détection rapide et les efforts de suppression semblent avoir limité le succès de l’attaquant. »
