18
Une menace complexe ciblant la chaîne d’approvisionnement des logiciels a été découverte sur NPM, le plus grand registre des logiciels du monde, selon JFROG. La vulnérabilité implique un typosquat Attaque et un ensemble malveillant conçu pour voler des titres de compétences.
Le forfait malveillant, nommé «jfrog-xray», A été publié sur NPM et a mis l’identité d’un outil de numérisation de sécurité JFROG XRAY légitime. Il a été conçu pour récolter les variables d’environnement, y compris des données sensibles comme les clés d’API et les mots de passe. L’attaquant a réussi à publier le package et il a été téléchargé plus de 100 fois avant d’être supprimé par JFROG.
L’attaque a exploité les typosquattings, une technique où les attaquants publient des packages avec des noms similaires à ceux populaires, espérant que les développeurs installeront accidentellement la version malveillante. Dans ce cas, l’attaquant a utilisé un nom qui ressemblait étroitement à «JFrog-xray», peut-être des développeurs qui recherchaient l’outil JFROG officiel.
L’équipe de recherche sur la sécurité de JFROG a identifié le package malveillant et a travaillé avec NPM pour le supprimer. Ils ont également publié des informations détaillées sur l’attaque, y compris les indicateurs de compromis, pour aider les organisations à se protéger. L’incident met en évidence les risques croissants associés aux attaques de chaîne d’approvisionnement logiciels et l’importance des pratiques de sécurité robustes.
Contexte expert
Il est entendu que les attaques de chaîne d’approvisionnement logicielles deviennent de plus en plus courantes car les attaquants cherchent à compromettre plusieurs organisations par un seul point d’entrée. Ces attaques ciblent souvent les référentiels open source comme le NPM, qui sont largement utilisés par les développeurs du monde entier. L’utilisation de la typosquat est une tactique courante utilisée par les attaquants pour exploiter l’erreur humaine et distribuer du code malveillant. Il est conseillé aux organisations de mettre en œuvre des mesures de sécurité telles que la numérisation des dépendances et la gestion de la vulnérabilité pour atténuer le risque d’attaques de la chaîne d’approvisionnement.
Les détails de l’identité et des motivations de l’attaquant n’ont pas été publiés. L’étendue complète des dégâts causés par l’attaque est également actuellement inconnue, bien que l’on pense en effet qu’un nombre limité de développeurs ont été affectés.
chronologie
- 29 février 2024: JFrog a découvert le package malveillant sur NPM.
- 29 février 2024: JFrog a travaillé avec NPM pour supprimer le package «JFrog-xray».
- 1er mars 2024: JFrog a publié des détails sur l’attaque et les indicateurs de compromis.
Cet incident sert de rappel critique à l’importance de maintenir une forte posture de sécurité dans le cycle de vie de la croissance des logiciels. Protéger le chaîne d’approvisionnement nécessite une vigilance, des mesures de sécurité proactives et des capacités de réponse rapide.
Menace de la chaîne d’approvisionnement découverte sur NPM
Une attaque furtive ciblant la chaîne d’approvisionnement des logiciels a fait surface sur NPM, ce qui a des alarmes pour les développeurs du monde entier.
Q: Quel type de menace ciblait le NPM?
UN: Une menace complexe ciblant la chaîne d’approvisionnement des logiciels a été découverte sur NPM, le plus grand registre de logiciels au monde. Cela impliquait une attaque de typosquat et un ensemble malveillant.
Q: Comment les attaquants compromettent-ils plusieurs organisations à la fois?
UN: Les attaquants cherchent de plus en plus à compromettre plusieurs organisations par un seul point d’entrée. Ils y parviennent en ciblant les référentiels open source largement utilisés comme le NPM, exploitant une tactique commune connue sous le nom de typosquat.
Q: Qu’est-ce que la typosquat dans ce contexte?
UN: La typosquat est une tactique que les attaquants utilisent pour exploiter l’erreur humaine. Ils créent des packages malveillants avec des noms similaires à ceux légitimes, en espérant que les développeurs téléchargeront par erreur la version compromise.
Q: Le référentiel open source était spécifiquement ciblé?
UN: L’attaque a spécifiquement ciblé le NPM, qui est le plus grand registre de logiciels au monde et est largement utilisé par les développeurs du monde entier.
Q: Quel est l’objectif de ces attaques de «chaîne d’approvisionnement»?
UN: Les attaquants visent à compromettre plusieurs organisations en infiltrant un seul point d’entrée largement utilisé.
Q: Quelle entité organisationnelle a découvert cette attaque?
UN: JFrog a découvert le package malveillant sur NPM.
Q: Quand le package malveillant a-t-il été identifié pour la première fois?
UN: JFrog a découvert le forfait malveillant le 29 février 2024.
Q: Quelles mesures ont été prises après la découverte?
UN: JFrog a travaillé avec NPM pour supprimer le package malveillant, qui a été identifié comme «JFrog-xray». Ils ont ensuite publié des détails sur l’attaque et les indicateurs de compromis le 1er mars 2024.
Q: Dans quelle mesure l’impact de cette attaque a-t-il été répandu?
UN: Bien que l’étendue complète des dommages soit inconnue, on pense en effet qu’un nombre limité de développeurs ont été affectés par cet incident particulier.
Q: Quelles mesures de sécurité sont recommandées pour empêcher de telles attaques?
UN: Il est conseillé aux organisations de mettre en œuvre des mesures de sécurité telles que la numérisation des dépendances et la gestion de la vulnérabilité. Ces étapes aident à atténuer le risque d’attaques de la chaîne d’approvisionnement contre le cycle de vie de la croissance des logiciels.
Rester vigilant et proactif est essentiel pour sécuriser la chaîne d’approvisionnement des logiciels.