Une nouvelle attaque à grande échelle de la chaîne d’approvisionnement a été observée ciblant les développeurs Azure avec pas moins de 218 packages NPM malveillants dans le but de voler des informations personnellement identifiables.

« Après avoir vérifié manuellement certains de ces paquets, il est devenu clair qu’il s’agissait d’une attaque ciblée contre l’ensemble Portée @azure NPMpar des attaquants utilisant des scripts automatisés pour créer des comptes et télécharger des packages malveillants qui couvrent toute cette gamme », les chercheurs de JFrog Andrey Polkovnychenko et Shachar Menashe mentionné dans un nouveau rapport.

La suite complète de packages malveillants a été divulguée aux responsables du NPM environ deux jours après leur publication plus tôt cette semaine, ce qui a entraîné leur suppression rapide, mais pas avant que chaque package ait été téléchargé en moyenne environ 50 fois.

L’attaque fait référence à ce qu’on appelle le typosquattage, qui se produit lorsqu’un acteur malveillant pousse un paquet malveillant avec un nom qui imite une bibliothèque légitime dans le registre de logiciels publics tels que NPM ou PyPI dans l’espoir d’inciter les utilisateurs à l’installer.

Dans un cas particulier observé par la société DevSecOps, un adversaire inconnu aurait créé des dizaines de compagnons malveillants portant le même nom qu’un existant. @portée bleue package mais pas de nom de portée (par exemple, @azure/core-tracing vs core-tracing).

« Les attaquants se sont appuyés sur le fait que certains développeurs peuvent omettre par erreur le préfixe @azure lors de l’installation d’un package », ont déclaré les chercheurs. « Par exemple, j’ai exécuté npm install core-tracing par accident, au lieu de la commande correcte – npm install @azure/core-tracing. »

Non seulement l’attaque tire parti d’un nom d’utilisateur unique pour télécharger chaque package dans le référentiel afin d’éviter tout soupçon, mais les bibliothèques contenant des logiciels malveillants affichent également un numéro de version élevé (par exemple, 99.10.9), indiquant une tentative d’exécution d’une attaque d’obfuscation des dépendances. .

Si un développeur installe involontairement l’un de ces packages, cela conduit à l’exécution d’une charge utile de reconnaissance conçue pour répertorier les répertoires ainsi que pour collecter des informations sur le répertoire de travail de l’utilisateur actuel et les adresses IP associées aux interfaces réseau et aux serveurs DNS, le tout étant exfiltré. aux serveurs distants.

« En raison de l’augmentation des attaques de la chaîne d’approvisionnement, en particulier via les référentiels de packages NPM et PyPI, il semble que davantage de surveillance et d’atténuation devraient être ajoutées », ont déclaré les chercheurs.

« Par exemple, l’ajout d’un mécanisme CAPTCHA à la création d’utilisateurs NPM ne permettrait pas aux attaquants de créer facilement un nombre arbitraire d’utilisateurs à partir desquels des packages malveillants pourraient être téléchargés, ce qui faciliterait l’identification des attaques. »